Beberapa waktu lalu saya mendownload tema wordpress di google. Lah kok baru dipasang, pas dicek di email terkirim via webmail banyak email keluar yang isinya tentang laporan pemasangan tema yang saya download tadi beserta link backdoor nya. Sial, tema nya dikasih log ternyata !
Beruntung yang digunakan hanya Obfuscator sederhana sehingga cukup mudah untuk di decode.
kali ini saya akan mencoba mendecode script php backdoor yang di Obfuscate.
File yang akan di decode : Link File
Save file nya dengan nama backdoor.php
Kita coba pahami struktur di awal code.
$OOO0O0O00=__FILE__;
$O00O00O00=__LINE__;
$OO00O0000=34764;
eval((base64_decode(‘base64 encoded script’)));return;?>
Nah, ambil bagian base64 nya, lalu simpan dengan nama base64.txt .
Masuk terminal, lalu ketik command
jackwilder@backbox ~/exp/dec % cat base64.txt | base64 -d > decode.txt
maka hasil dari decode nya nanti akan terdapat pada file decode.txt
$O000O0O00=fopen($OOO0O0O00,’rb’);
while(–$O00O00O00)fgets($O000O0O00,1024);
fgets($O000O0O00,4096);
$OO00O00O0=(base64_decode(strtr(fread($O000O0O00,372),’EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=’,’ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/’)));eval($OO00O00O0);
Nah, kita gunakan command berikut untuk mengambil source file yang telah di obfuscate.
jackwilder@backbox ~/exp/dec % tail -1 backdoor.php | tr
‘EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=’
‘ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/’ |
base64 -d > dec.txt
Buka file dec.txt .
Keliatan deh tuyul yang nyelip disitu 😀
Sekian tutor kali ini semoga bermanfaat.
Zuhdi Di says
Bismillahirrahmaanirrahiim, Alhamdulillah artikelnya bagus-bagus,menarik dan nampak keahlian yg punya blog.
Dengan kondisi banyaknya KASUS PEMERKOSAAN , PERZINAHAN …..PELAJAR/MAHASISWA/PEGAWAI/REMAJA/ORG TUA, pemerkosaan ANAK sekolah yang dipicu/disebabkan oleh banyaknya video porno,cerita porno yg terdapat di website baik yg SENGAJA diupload PENJAJAH LUAR NEGERI UTK MERUSAK GENERASI NKRI maupun dari generasi bangsa ini sendiri yg tak sadar perbuatannya tlah meracuni generasi bangsanya.
YG BERBAHAYA LAGI , SKARANG INI MUDAHNYA SEMUA ANAK REMAJA PUNYA HP ANDROID MENGAKSES SITUS TSB.
KITA HARUS PEDULI,
JANGAN SAMPAI AKIBAT BURUK TERJADI PADA ORG TUA KITA, PAMAN BIBI KITA, ABANG KAKAK ADIK KITA, ANAK CUCU CICIT KETURUNAN KITA, KELUARGA KITA AKIBAT STRATEGI PENJAJAH MODERN TSB, NA’UDZUBILLAHI MINZALIK.
TAK ADA JAMINAN KEAMANAN UTK ITU, KALO KITA TIDAK BERBUAT MELAWANNYA SKARANG.
Karena itu sudah adakah niat dan usaha BANG ADMIN dan kawan-kawan serta org2 yg peduli utk membuat software yg bisa menghapus website-website porno yg segaja dibuat utk merusak bangsa tercinta ini ????
Sudah adakah niat dan usaha BANG ADMIN dan kawan-kawan serta org2 yg peduli utk menggunakan software org lain yg bisa menghapus website-website porno yg segaja dibuat utk merusak bangsa tercinta ini ????
Kalau punya softwarenya mohon dibagi ke kami atau mohon carikan kami,
atau KALO HARUS DIBAYAR SOFTWARENYA AKAN KAMI BAYAR KALO COCOK HARGA,insyaAllah akan kami gunakan utk melawan (Menghapusnya) website2 porno yg segaja dibuat oleh para penjajah asing. tujuan kami insyaallah agar generasi muda datang tidak tercemar dan rusak,aamiin. Mudah-mudahan jadi amal jariyah.
KARENA OTAK adalah amanah, waktu adalah amanah, sehat adalah amanah, keahlian-keterampilan-kemampuan-kekuatan adalah amanah dari Allah SWT yg AKAN DIMINTAI PERTANGGUNGJAWABAN DIALAM KUBUR YG SELALU SETIA SETIAP DETIK MENANTI, PENGADILAN PADANG MAHSYAR.
DAN BERUNTUNGLAH ORG-ORANG YG MENGGUNAKAN AMANAH ITU DENGAN BAIK,Aamiin.
Karena hidup didunia tidak lama.tidak kekal. AKHIRATLAH YG ABADI
kami tunggu SEGERA softwarenya di email : [email protected].
AGAR Isyaallah BISA SEGERA BERFUNGSI MENGHAPUS WEBITE2 PERUSAK,MUMPUNG ALLAH SWT MASIH BERI KAMI DAN KITA HIDUP, MUMPUNG ALLAH SWT MASIH BERI BERFIKIRAN BAIK, MUMPUNG ALLAH SWT MASIH BERI SEHAT,SEMPAT,KUAT.
UTK DIGUNAKAN MENABUNG/MENGUMPULKAN AMAL BAIK UTK TIKET KENIKMATAN SURGANYA ALLAH SWT DAN TERHINDAR PANASNYA / PEDIHNYA AZAB/NERAKA-NYA.
JGN SAMPAI MENJADI PENYESALAN DI KUBUR DAN DI AKHIRAT, NA’UDZUBILLAHI MIN DZALIK.
MOHON SEBARKAN PADA TEMAN/KENALAN YG SATU VISI, DAN INI AMANAH. trima kasih.
Siapa Aku? says
~/exp/dec , kok malah gini mz?
bash: /home/pw/exp/dec: No such file or directory