标点符(钱魏 Way)

网站入侵代码分析

昨天晚上发现的网站被入侵,具体入侵的途径现在还不知道,估计是服务器文件夹权限设置太高导致的。为了纪念下这次小小的被入侵,把入侵者的代码拿来研究下。

入侵者在服务器上某些文件的开始(如index.php) 的前面添加了如下代码:

以上代码通过base64解码以后为:

可以看到中间有出现了base64编码过的字符串,试着再这部分解码得到:

从中我们可以获取到一段被压缩混淆过的脚本,再试着把脚本再反编译下,得到:

令人无语的是这个脚本本身就是一个加密函数:

可与获得最终内容如下:

可以看到这个骇客做了4次的加密混淆工作最终的目的是在我的网站上iframe一个页面,具体这个iframe用来做什么的不得而知,目前发现的线上是在我的网站上弹广告。

花了一天把服务器上的代码全部删除重新上传了一遍,表面上把问题解决了,但是这到底是怎么入侵的还不知道,心中还是很不安啊。

真的是不知所措了,今天又被入侵了,这次除了添加了上述的代码,同时还留了个后门代码:

解码出来的内容为:

码字很辛苦,转载请注明来自标点符《网站入侵代码分析》

评论