logo标签列表

浏览器下载了这个未混淆的PHP脚本。它在做什么?

phpsecuritymalwarevirus
8

我一进入网站,我的浏览器(Chrome)就下载了这个脚本。它没有混淆,也不是太长,我认为它是无害的,但我不懂PHP,所以我不确定。该文件名为csync.php

Chrome让它看起来像这是唯一下载的文件。这可能不是真的吗?

有人能解释一下这个脚本在做什么吗?

<?php
require_once("config/config.php");

require_function("util/StaticFunctions.php");
require_function("service/ServiceFactory.php");
require_function("bo/BoFactory.php");
require_function("data/DataFactory.php");
require_function("util/UtilFactory.php");
require_function("data/AkamaiLoggingService.php");

include 'config/setup/config-setup-skenzo.php';
include 'config/skenzo_request_variables.php';

header('P3P:CP="NON DSP COR NID CUR ADMa DEVo TAI PSA PSDo HIS OUR BUS COM NAV INT STA"');
header('Content-type: text/html');
header('Cache-Control: no-cache, no-store, must-revalidate');
header('Pragma: no-cache');
header('Expires: -1');

$visitorInfo = BoFactory::getVisitorInfo();
$vsid = $visitorInfo->getVisitorId();
$dataNames = VisitorInfo::$VSID_DATA_NAMES;
$mName = BoFactory::getInboundHttpRequest()->getSanitizedValueOfParam('type');
$mValue = BoFactory::getInboundHttpRequest()->getSanitizedValueOfParam('ovsid');



$vsCk = VISITOR_ID;
$vsDaCk = VISITOR_DATA;
$sepVal = VisitorInfo::$VALUE_SEP;
$sepTime = VisitorInfo::$TIME_SEP;
$vsDaTime = VisitorInfo::$VSID_DATA_TIME;

echo '<html> <head></head> <body> <script type="text/javascript" >';

$vsyncConf = array (
    "vsCk" => $vsCk,
    "vsDaCk" => $vsDaCk,
    "sepVal" => $sepVal,
    "sepTime" => $sepTime,
    "vsDaTime" => $vsDaTime
);

echo "var vsyncConfig = " . json_encode($vsyncConf) . ";\n";

include(SKENZO_MEDIA_DIR. '/js/util/C2/modules/mnvdata.js');
echo '</script>';
echo "</body></html>";

if(AKAMAI_LOG_POSTBACK == $_SERVER['SERVER_NAME'])
{
    define('AKAMAI_BULK_LOGGING', TRUE);
    define('TEST_ENGINE_FROM_SERVING', '1');

    try
    {
        $akLogService = new AkamaiLoggingService();
        $akLogService->handleAkamaiBulkData();
        echo '<!--var logged = 1;-->';
    }
    catch(Exception $e)
    {
        error("RTBLOG AKAMAI ERROR: " , $e , LOG_ALERT);
        echo '<!--var logged = 0;-->';
    }
}
else
{
    if(AKAMAI_LOG_ORIGIN == $_SERVER['SERVER_NAME'])
    {
        echo '<!--var logged = 1;-->';
    }
    else
    {
        define('AKAMAI_BULK_LOGGING', TRUE);
        define('TEST_ENGINE_FROM_SERVING', '1');

        try
        {
            $akLogService = new AkamaiLoggingService();
            $akLogService->handleGetRequests();
            echo '<!--var logged = 1;-->';
        }
        catch(Exception $e)
        {
            error("RTBLOG AKAMAI ERROR: " , $e , LOG_ALERT);
            echo '<!--var logged = 0;-->';
        }
    }
}

?>
无论使用哪种浏览器,它都会在mobile.nytimes.com上显著显示。该文件从http://qsearch.media.net/csync.php下载,这是一个Yahoo/Bing广告网络,可能存在一些配置问题。 - ike
3个回答
6
您正在访问的服务器配置不佳。因此,服务器将PHP发送到您的浏览器,而不是执行它。浏览器不会执行PHP,因此您是安全的。
如果您关心您正在访问的网站,最好的做法是联系支持并引用本帖子。
在线上的一些地方报告了一个名为csync.php的类似文件。这与AKAMAI(一个巨大的内容交付网络)的参考一起表明,配置错误的服务器不是实际上您所在的第一方网站,而是该网站以及许多其他网站依赖的第三方服务器。
文件的显然来源:http://qsearch.media.net/csync.php 类似的报道(谷歌搜索):https://encrypted.google.com/search?q=csync.php+download
对,所以对我来说没有任何危险的机会吗?还有你知道这实际上在做什么吗?看起来像一种AKAMAI分析工具? - noobcoder
1
是的,你很安全。我无法确定代码的作用,因为它严重依赖于文件外部的脚本。我不想猜测。 - BeetleJuice
1
允许猜测。我最好的猜测是这是日志脚本。它存储有关访问者和访问内容的数据。相当无害,肯定现在没有发挥作用,因为它没有被执行。这个网站可能是纽约时报吗? - KIKO Software
0
我还看到这个文件掉进了我的下载文件夹。来源是qsearch.media.net。如果你访问media.net,你会发现它是互联网广告生态系统的一部分。很可能是他们的脚本中有一个bug。使用media.net服务的网站无意中导致你的电脑下载了这个php文件。
-1

这绝对不是任何网站的服务器错误,而是因为我的浏览器也从多个网站下载了此脚本,其中一个是来自speedtest.net,我不知道发生了什么黑客攻击。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接