檢查 PHP hack 腳本

我在朋友的網路伺服器上發現了一些被黑客載入的 PHP 腳本。實際程式碼使用多層加密隱藏，如下所示。他們有一個巨大的字元串分配給一個變數$str。然後他們使用以下行來解密字元串並執行程式碼eval(gzinflate(str_rot13(base64_decode($str))));

他們無法執行程式碼，因為有一個 .htaccess 文件阻止從該文件夾執行腳本，這是一個臨時修復。

但是，我對腳本的解密內容很好奇。我想看看它在做什麼，因為這可能會為系統上可能存在的漏洞提供線索。我怎樣才能安全地做到這一點而不使系統受到預期的攻擊？

我可以將上面的語句更改為在 pc 上執行的 linux vm 上安全地放置它echo(gzinflate(str_rot13(base64_decode($str))));嗎？

是的，您提供的命令是獲取正在執行的程式碼的有效且安全的方式。但是，它會被破壞並且很難閱讀；您需要一些時間來重新格式化它以提高可讀性。

引用自：https://serverfault.com/questions/287119