Как я могу gzinflate и сохранить раздутые данные без запуска? (Нашел то, что я считаю трояном на моем сервере)

Question

Ну, не мой сервер. Мой друг нашел это и отправил мне, пытаясь понять это. Похоже, это PHP IRC-бот, но я не знаю, как его расшифровать и понять.

Вот код:

<?eval(gzinflate(base64_decode('some base 64 code here')))?>

Итак, я декодировал base64, и он выводит тонну странных символов, я предполагаю, что либо зашифрованный, либо файл другого типа, например, когда вы меняете .jpg на .txt и открываете его.

Но я понятия не имею, как декодировать это и определить его источник. Любая помощь?

Answer 1

Это должно быть безопасно, но все равно покажет вам код:

<code><pre>
<?echo(gzinflate(base64_decode('some base 64 code here')))?>

То есть echo вместо eval.

Если вы предпочитаете делать это в оболочке, попробуйте gunzip после декодирования base64.

Answer 2

Вероятно, вы обнаружите, что eval производит еще один цикл для eval. Это может продолжаться до тех пор, пока, наконец, не будет выполнен настоящий код.

Я бы шаг за шагом расшифровал его на компьютере, отключенном от сети, а затем отформатировал бы.