我在朋友的网络服务器上发现了一些被黑客加载的 PHP 脚本。实际代码使用多层加密隐藏,如下所示。他们将一个巨大的字符串分配给一个变量$str
。然后他们使用以下行解密字符串并运行代码eval(gzinflate(str_rot13(base64_decode($str))));
他们无法运行代码,因为有一个 .htaccess 文件阻止从该文件夹执行脚本,这是一个临时修复。
但是,我对脚本解密后的内容感到好奇。我想看看它在做什么,因为这可能会提供系统可能存在的漏洞的线索。我怎样才能安全地做到这一点,而不会让系统受到预期的攻击?
我可以安全地将其放在在 PC 上运行的 Linux VM 上,同时将上述语句更改为吗echo(gzinflate(str_rot13(base64_decode($str))));
?
答案1
是的,您提供的命令是获取正在运行的代码的有效且安全的方法。不过,它会很混乱,很难阅读;您需要花一些时间重新格式化它,以提高可读性。