中了一段疑似 PHP 木马。

这么多问号。。肯定 php 语法错误了，你确定是原文件？

@zjsxwc #1 vps 上面 复制下来的 , 在一个 cache 的文件夹. windows 的.

@GPU

能发下原文件吗

@zjsxwc #3 刚登录上 vps 看了一遍源文件就是这样子,用 notepad ++ 打开看过

编码出问题了吧

可能是编码问题

@kikyous #5 不清楚, 另一个管理看到后说直接删了 ,删了还查个毛. 剩下这个乱码的.

散吧

这是混淆加密过的代码 必须拿源文件二进制的 可以到解密网站上解密出来

木马

看到 eval 就知道了，可能就是木马

难道是用全角问号做变量名和方法名

这种混淆太恶心了，以前还可以一层一层的手解。这种的一编辑字符集编码就乱了然后文件自己就损毁了

@imnpc #8 二进制不知道哪里找了.

这就是一段木马啊，变量就是这样的，没看出来有些都是正常的吗？

@ditel #14 看了来了有几个疑似是密码之类的字符串, 变量赋值之类

代码加密处理了吧

这个真不一定是木马之类的，很久以前流行过一段时间这种 PHP 『加密』方法。本质就是把各种变量函数之类的替换为不可读的字符，以及用 eval / 可变函数 / 各种编码来达到混淆的效果。。。

很明显的木马，不过在 windows 的 cache 文件夹没啥作用，不用担心

@yangqi #18 不是在 Windows 的 Cache 的 ,而是在网站程序的 cache 里面.

应该是的，黑客采用 ASCII 码(129-255)之间的字符来加密，造成代码不可读。参考地址 http://www.cnblogs.com/LittleHann/p/3522990.html
https://www.srevilak.net/wiki/images/4/4f/Wordpress-p0wn.pdf
根据能够识别的关键字“ b3Jk ”、“ c3RybGVu ”等，google 到的。

但是你传的好像问题，保存成 PHP 解析报错了。

通过几个固定字符串就知道了，b3Jk c3RybGVu Y2hy
E 文不好，大概找出这么几个参考
http://www.yilmazboya.com/Marvinsasa.asp
http://www.php.cn/php-weizijiaocheng-334043.html
https://gist.github.com/ariya/2338282
https://z900collector.wordpress.com/2015/07/20/php-coding-exploit-analysis/

特别像这个？ https://segmentfault.com/q/1010000004145305