Что за шелл код

Обычно это фигня, с помощью которой можно управлять файлами сервера жертвы, у которой этот файл разместили. На правах веб сервера, разумеется. Страница в вебе, в которой можно видеть какие файлы есть, их изменить или загрузить (с помощью команд PHP). А шифрует, чтоб автоматический поиск зловредных скриптов результатов не возвращал.

Можешь запустить virtualbox, создать машину с PHP, разместить этот файл в public WEB директории и посмотреть, что он тебе откроет. :) Только потом не забудь машину удалить. Мало ли чего там понапихано.

Впрочем, не стоит - я декодировал (eval заменил на echo), он там при правильно переданных параметрах питается письмо отослать. Ничего интересного. :/

что ж тут нетепичного? шеллы всегда шифруют, как и обнаружение их на обратном построено - поиск по образцам (как и любых вирусов)

А шифрует, чтоб автоматический поиск зловредных скриптов результатов не возвращал.

Это понятно. Вот ai-bolit его провтыкал.

что ж тут нетепичного?

Просто шеллы, которые я встречал до этого имели более компактное представление.

он там при правильно переданных параметрах питается письмо отослать.

Первым делом после заражения был удалён sendmail.

В своё время на коленке вот такой скрипт написал.

https://bitbucket.org/inutcin/crow

Это не антивирь-сканер в привычном понимании. Помещается в корень сайта и ищет подозрительные куски кода, оставляя решение о том халяль это или харам за человеком.

Всегда его вслед за йаболитом прогоняю.

шифрует, чтоб автоматический поиск зловредных скриптов результатов не возвращал

Нормальный сканер на такое говно начинает орать в первую очередь.

Спасибо!

Почему бы просто не запустить в виртуалке и не просниффить что он делает?

Вот ai-bolit его провтыкал.

Ээээм. У меня айболит на него реагирует как на какое-то подозрительное говно. http://pic4a.ru/73/Z7.png

Хз, может уже добавили :-)