基于 zend_compile_string 解密非扩展加密的PHP文件

下载 php-5.5.38 源代码,打上补丁。开启需要的扩展,编译即可

./configure --prefix=/tmp/php-decoder --disable-cgi --disable-fpm --with-zlib -q && make -j8

这个程序会把所有动态 eval/assert/create_function/... 执行的内容直接保存在文件里

在命令行里,

./sapi/cli/php xxx.php

会在当前目录下依次生成 compile.X.txt,顺序递增,即这个程序每次编译的PHP代码内容,其中某一个就是解密的PHP代码

最好在虚拟机里执行,或者配置下 php.ini,禁用所有敏感函数。由于我们无法知道这个脚本具体做了哪些事情,在开发机上执行,可能会带来意想不到的问题

如果你在服务器上发现了这样的加密后门,你可以考虑安装基于RASP技术的服务器保护组件,比如 OpenRASP

基于RASP技术可以很好的对抗WebShell,因为RASP不关心这个WebShell如何编写,如何加密和混淆,它只关心这个后门在做什么事情,并根据行为拦截攻击

我们会在今年年底推出PHP Beta版本,敬请期待