被黑客入侵了，这段代码是做什么的？

所以有一个字符串。它被gz压缩并进行了base64编码，代码对base64进行解码，然后解压缩它。

完成后，我得到这个结果：

<? eval(base64_decode('...')); ?>

另一层 base64，长度为 720440 字节。

现在，base64解码它，我们有506961字节的漏洞利用代码。

我仍在检查代码，并在我有更多的理解时更新此答案。代码很大。

仍然通读代码，并且（做得非常好）漏洞利用允许这些工具暴露给黑客：

• TCP 后门设置
• 未经授权的外壳访问
• 读取所有 htpasswd、htaccess、密码和配置文件
• 日志擦除
• MySQL 访问（读取、写入）
• 将代码附加到与名称模式匹配的所有文件（大规模利用）
• 射频识别码/液态增强扫描器
• UDP 泛滥
• 内核信息

这可能是一个专业的基于PHP的服务器范围的漏洞利用工具包，并且看到它有一个很好的HTML界面和整个功能，它可以很容易地被专业黑客甚至脚本小子使用。

这个漏洞被称为（感谢一江），事实证明它已经很受欢迎，已经被谈论并运行了几年。谷歌上有很多关于这个漏洞的结果。c99shell

看看Delan的解码源，它似乎是一个成熟的后门，提供了一个Web界面，可以用来以各种方式控制服务器。从源头上分辨片段：

echo '<center>Are you sure you want to install an IP:Port proxy on this
website/server?<br />

或

<b>Mass Code Injection:</b><br><br>
Use this to add PHP to the end of every .php page in the directory specified.

或

echo "<br><b>UDP Flood</b><br>Completed with $pakits (" . 
     round(($pakits*65)/1024, 2) . " MB) packets averaging ". 
     round($pakits/$exec_time, 2) . " packets per second \n";

或

if (!$fp) {echo "Can't get /etc/passwd for password-list.";}

我建议您清理该服务器并从头开始重新安装所有内容。