Есть шелл WSO закриптованый, антивирусами не обнаруживается, но в CMS Wordpress, Joomla и ещё нескольких он работает, а в Bitrix нет?

Кто-нибудь сталкивался с подобным?

дело не в битриксе, а в сервере

попробуй залить не сжатую версию шелла

topthing said:
↑ (https://antichat.live/posts/4271666/)
дело не в битриксе, а в сервере
попробуй залить не сжатую версию шелла


Она не сжатая, она кодированная в своё время через fopo.com.ar.

Все сайты на одном хостинге, поэтому есть возможность перелезть через другие сайты, но сейчас Битрекс переедет и доступа не будет.

Не кодированая версия работает нормально, но её обнаруживают быстро это палево (

Может в крипте дело? Я сам не понимаю. 10 сайтов открываются, а Битрекс нет.

еще раз: дело не в битриксе, дело в сервере

"Не кодированая версия работает нормально, но её обнаруживают быстро это палево" - любое "кодирование" означает использование декорирующих функций типа gzinflate, которые бывают запрещены на некоторых серверах. Поэтому шелл и не работает. Внимательно изучи как кодируется шелл твоим кодировщиком, скорее всего "закодированный" код использует фукции, запрещенные на сервере. То же самое касается например вызова pcre_replace с /e модификатором в php 7.

И прочитай уже phpinfo на сервере, обрати внимание на disabled_functions

Да, посмотрел, всё верно. Это единственный сайт на php 7, остальные на php 5.6. К кому можно обратиться чтобы перекодировали файл (на платной основе, конечно), чтобы работал на php 7?

man474019 said:
↑ (https://antichat.live/posts/4271800/)
try this
https://github.com/mIcHyAmRaNe/wso-webshell


только стучалку не забыть убрать https://github.com/mIcHyAmRaNe/wso-webshell/blob/master/wso.php#L4

Спасибо, Парни, все работает. Надеюсь антивир не вычислит.