PHP Backdoor(?) - Was tut dieses Script

[Deleted member 11691]

Hallo,

heute haben wir auf einem Kundenserver folgenden Backdoor (ist es überhaupt ein Backdoor?) gefunden:

http://dontrm.org/4fcaadddd0880db6491ce9af48a5b566

Ich habe keine Ahnung, was genau es tut. Ja klar, es wurden funktionen verschleiert und das deutet entweder auf ein Profi oder ein Scriddie hin.

xdebug-Trace:

http://dontrm.org/c2f725442ba55eec48ca63aeb0e501a9

Könnte man eventuell xdebug sagen, dass es die Parameter der einzelnen Funktionen auch mit angeben soll?

 

[infinitnet]

Hier einige Parts halbwegs entschlüsselt - das jetzt sauber zu machen, kostet mir zu viel Zeit: http://dontrm.org/e93de2458279f322b58b712c10eaea7a

Auf jeden Fall was mit cURL, iframes und User Agents und IPs von u.A. Suchmaschinen. Ich würde dem nicht trauen, ich vermute es handelt sich hier um ein Script, welches einen iframe in Websites einfügt, wenn der Besucher von einer Suchmaschine aus auf die Seite kommt o.Ä.

Kann man alleine aufgrund dieser Zeile vermuten:

~éܶ*'º&€®¶²str_splitfile_put_contentsÊƱ™¥±•}•Ñ}½¹Ñ•¹ÑÌrbÑT•‘T—ÐQ…4U%dU%ôDE ñ‘¥Ø…±¥¸ô‰•¹Ñ•ÈˆÍÑå±”ô‰Ñ•áе…±¥¸è•¹Ñ•ÈìÝ¥‘Ñ*è€ÄÀÀ”ì¡•¥¡Ðè€ÌÀÀÁÁà쉅*ɽչµ½±½ÈèÝ¡¥Ñ”ìÁ½Í¥Ñ¥½¸èÉ•±…Ñ¥Ù”ìèµ¥¹‘•àè€äääääääìѽÀè€ÁÁà챕™Ðè€ÁÁàìˆø4(ñ¥™É…µ”ÍÉŒôˆ" scrolling="yes" height="100%" width="100%" frameborder="0"  allowtransparency="false" allowfullscreen="true" allowscriptaccess="always"></iframe></div>
<div style="visibility: hidden; position: absolute;  top: -9999px;">óÆ&öG’…Ç2¥µãåÒ¢“óâöñ‰½‘äø¼ñp½‰½‘äø½¤</div></body>7W&Åö–æ—FÆÆ÷u÷W&Åöf÷Væ'’6W'fW"6öö¶–P/(ru|ua)/i'’66WBÆæwVvRõõµÇ2Ó÷'Röby useragent languagecachežHØXÚH™XY[™Áñ¡ÑÑÀép½p¼¡myp½t¬¥p½ñ‰äÍÑÉ…¹”É•™•É•È¼¡Ù•É¥é½¹p¹ñ‰…¥‘Õp¹ñ‰Ñp¹ñ½µ…ÍÑp¹ñ½½±•p¹ñµÍ¹p¹ñ‰¥¹p¹ñ±¥Ù•p¹ñå…¡½½p¹ñ…½±p¹ñ…Í*p¹½ñ…Í*p¹½µñÍ•…É¡…¹‘¥Ù•ñ…±½Ñp¹½µñ½É…¹•p¹½p¹Õ*ñÑÝ¥ÑÑ•Ép¹½µñ…±±Ñ¡•Ý•‰p¹½µñ±½½*͵…ÉÑp¹½µñ…±Ñ…Ù¥ÍÑ…p¹½µñÍ•p¹™¥É•‰…±±p¹‘•ñÍ•…É¡p¹±å½Íp¹½µñÍÕ¡•p¹±å½Íp¹‘•ñå…¹‘•áp¹ÉÕñå…p¹ÉÕñÉ…µ‰±•Ép¹ÉÕñ¥Åp¹½µñÅ¥Áp¹ÉÕñµ…¥±p¹ÉÕñÁ½¥Í*p¹ÉÕñ‘…•µ½¸µÍ•…É¡p¹½µñ…Á½ÉÑp¹ÉÕñÍ•…É¡p¹Õ*Ép¹¹•Ññ¹¥µ…p¹ÉÕñÝ•‰…±Ñ…p¹ñÍ•…É¡p¹‰¥µ¥Ép¹¹•Ññµ•Ñ…p¹Õ„¤½¥‰ä¹½ÐMÉ•™•É•È![\&\?](?:q|query|p|wd|qt|su|text|z|r|search_query)=

PS: Achja, auf einen Profi deutet so ein Script nie hin - immer Skiddy. Wobei es in diesem Fall schon relativ mühsam verschlüsselt wurde.

 

[its]

Ziemlich Zeitaufwändig das zu "deobfuscten"

Nach einem Austausch von eval durch echo ergab sich:
http://pastebin.com/tJauAGie

Nun habe ich mir ein Teil heraus gesucht:

echo "ZnVuY3==" | base64 -d

das ergab:

func

teil eines PHP Befehls function

so musst du weiter verfahren, oder anderweitig (Sandbox,etc) weiterhelfen.

Meine persönliche Einschätzung ist, dass es nicht vom Kunden stammt.

 

[Deleted member 11691]

Hallo,

vielen Dank, its, für den Tipp. Versuche nun gerade die obfuscated functions in richtige functions auszutauschen. Ist so, dass im 1. Base64-Teil die Variablen in Funktionen bestückt werden ($blablabla=function($irgendwas)) und im 2. Base64-Teil diese Variablen benutzt werden. Vielen Dank für den Ansatz!