Hoe lees ik base 64 code?

WPBEVEILIGEN

Een hacker encodeert zijn php scripts zodat de server het niet snel zal herkennen als virus.
De server zal elk bestand namelijk niet 10x decoderen om het te lezen.

voorbeeld

Maar zo’n bestand kan wel uitgevoerd worden op aanvraag, en dat is wat een hackscript doet.

Een stuk base64 code decoderen

Als je die hele soep van code ziet, weet je misschien niet waar je moet beginnen.
Maar er zit wel logica in. De code begint vaak met een eval(“”) waarbij het de code binnen de “” wil uitvoeren. Die code kun je in een decoder zetten.

Vaak zetten de de code nog in een variable die uitgevoerd moet worden via een gedecodeerde variable zodat het eigenlijk niet te doen is om dat zelf te gaan ontrafelen. En dat is nu net de bedoeling van de scriptschrijvers.

Wat staat er nu meestal achter “die verstopte code”?

In veel gevallen is het een link naar een productpagina van de hacker of zijn klant. Of een script dat e-mails (spam) verstuurd naar e-mailadressen.

Maar soms heb je te maken met een geavanceerder hackscript, dan worden niet alleen die simpele handelingen uitgevoerd maar worden ook je database gegevens doorgesluisd of ontstaat er een nieuwe gebruiker in de database zodat het hackscript er later weer in kan komen als je het gerepareerd hebt.

Of een script kopieert zichzelf even naar elke map die je server bevat.

Dit zijn dingen die je meestal niet wilt weten, en het beste is om niet in de huid te kruipen van een scriptschrijver maar het te verwijderen en je WordPress deels te vernieuwen zodat je zeker bent dat al zijn codes en bestanden van je server zijn.

De base64 code is 3-10x gecodeerd.. wat nu?

De bestanden zijn vaan 1-5x gecodeerd. Dit betekend dat je een tijd bezig bent om ze te decoderen.

Gelukkig is er een website die dit proces voor je doet, UnPHP maakt een virtuele ruime en pakt daar de gecodeerde php uit.

Tot wel 81x in een loop wanneer dit nodig is!!

decode

 

Vergeet niet te delen

2
Reacties
Reageer of stel een vraag
  1. Jan Willem
    Jan Willem zegt:

    is base64 nu een code die de hackers hebben verzonnen of is die universeel want het lijkt net alsof de code er niet hoort te zijn maar waarom leest de server die code dan? kunnen ze dat niet uitzetten?

    Beantwoorden

Deel je mening of stel een vraag:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *