PHP Decoder

в 2:38, , рубрики: Песочница, метки: ,

Сегодня от хостера пришел сигнал, что один из файлов сайта на Magento содержит вирус. Понятное дело, это вопрос срочный, но занял он у меня половину ночи, поэтому хочу поделиться опытом и найденным мною сервисом.

Итак, есть php файл, который является частью модулей сайта, а не отдельно загруженным вирусом, т.е. просто удалить я его не могу.

Содержимое закрыто в <? eval(gzinflate(base64_decode(' код '))); ?>

Казалось бы, просто берем и декодируем, но в моем случае этот код был сам на себя перекодирован 49 раз подряд, поэтому ни один из известных мне декодеров с ним не справился. Далее процесс поиска истины и небольшой бонус в виде удобного сервиса по декодированию.

Содержимое зараженного файла

<? eval(gzinflate(base64_decode('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'))); ?>

Проверьте себя, если не получилось, смотрите результаты найденного мною сервиса декодирования 1 клик и результат в 49 этапов: ddecode.com/phpdecoder/?results=1ede271d380555be7750d48f0ec30104

Результатом оказалось неадекватное поведение модуля упрощенной корзины от известной студии, был неприятно удивлен тем, что они свои копирайты настолько основательно прячут. Кроме этого, вот уже второй раз, когда я чищу этот файл, первый раз он был в 3 этапа закодирован.

Отсюда вывод, что разработчики модуля не так просты.

Модуль этот бесплатный и я понимаю, что все хотят бэклинки на свой сайт, но такие методы мне неприемлемы, поэтому используя модули от конторы interiorwebdesign, проверяйте, что вам подарили.

Ради чего был сыр бор:

<p><?php echo $this->__('Our one page checkout system is provide by IWD a') ?>
    <?php echo $this->__('<a href="%s" target="_blank">web development company</a>', 'http://www.interiorwebdesign.com/') ?>
    <?php echo $this->__('specializing in <a href="%s" target="_blank">eCommerce Website Design</a>', 'http://www.interiorwebdesign.com/ecommerce-consulting-design-development') ?>
    <?php echo $this->__('& <a href="%s" target="_blank">Magento Development</a>', 'http://www.interiorwebdesign.com/magento-developer-designer') ?>
    </p>

Я также допускаю, что компания разработчик модуля не имеет отношения к произошедшему, но уж слишком очевидно обратное.

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js