Подозрительный обфусцированный PHP код

Скорее всего, обычный шелл — позволяет принимать команды от удаленного компьютера по изменению файлов и запуску произвольного кода. Запускать не пробвали?

Пробовал запускать, ничего. То есть никакого вывода не было... А по логам кто-то делал запросы через POST и получал ответы в несколько килобайт.

С таким содержимым: http://pastebin.com/LaUH4iVy

Уверены, что это всё содержимое?

Замените eval на echo и увидите.

Ага, уверен. Прямо полностью и скопировал. Если скопировать в файл и запустить через php file.php, то не ругается. Я, конечно, пробовал ставить там echo вместо eval, но там видимо многоуровневая обфускация.

Там просто в конце файла не должно быть новой строки.

Дошел до 3 уровня, дальше, не обнаружив eval, остановился =)

а загуглить религия не позволяет? туча результатов же

Туча, но что-то я не могу дойти до конца. Нашел какую-то функцию, которая до какого-то уровня разворачивает, но дальше вот не знаю как...

http://pastebin.com/7id695hY

$GLOBALS['OOO0000O0']

это base64-decode.

Дальше легко, но мне лень.

Спасибо. До такого я уже доходил. А что с этим делать? Убрать блок с if {} и echo base64_decode($GLOBALS['OOO0000O0'])?

Ругается на PHP Fatal error: Function name must be a string in ... на строке: $IIIIIIIIIIIl = $GLOBALS['OOO0000O0']('I2RmNQ==');

И PHP Notice: Undefined index: OOO0000O0 in ... на той же строке.

Пробовал запускат

ох напрасно... Оно может, например, бота повесить. А то и попытаться что-нить через sudo вызвать.

Вот код, спрятанный на самом нижнем уровне:
http://pastebin.com/vcZTzUeX

Что он делает, разбирайтесь уж сами.

Вообще, похоже на WSO (Web Shell By oRb):
https://rdot.org/forum/showthread.php?t=1085

Супер! Спасибо большое. Теперь будем выяснять как его туда залили... :)

как ты его расшифровал?

После того как снимешь простые обертки из eval, получится:

preg_replace("/.*/e", "\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'<base64>'\x29\x29\x29\x3B", ".")

Зачем в preg_replace такой идиотский модификатор... Не знаю. Выполнит все после замены. Hex равнозначен:

gzinflate( base64_decode( '<base64>') );

Берешь base64, который там в одинарных кавычках и распаковываешь.

какие права у файла? смотри права и владельца, также ctime и mtime. по этим датам внимательным образом изучи access и error лог, и поймешь как его залили. дырявый этот ваш вордпресс. а еще установи SUHOSIN.

Спасибо. Да, это я конечно протупил, через stat уже не узнать время создания (потому что я его менял). А через debugfs мне на VPS не позволяет получить дату создания файла. :((

suhosin стоит, поставил еще в php.ini для disable_functions много каких вызовов блокироваться.