容易发现referer及ACCEPT_LANGUAGE，而ACCEPT_LANGUAGE较为正常,所以木马通过HTTP协议中的Referer头传递数据。，先用eval进行解密，解密完成后把解密内容赋值给123，此时提交的$_post['123]值就为解密完的东西，这就把解密完的东西放在eval中执行。从此看出202.1.1.1是一个对外的公网IP地址，所以黑客是202.1.1.2 ,内网IP为19