Alcuni giorni fa uno dei miei clienti di webhosting aveva compromesso il login FTP, e l'hacker ha modificato il suo file index.php per includere del codice extra, e circa dodicimila altri bot hanno cercato di accedervi tramite un'operazione POST dal
Sto bene in PHP ma non genio, ma da quello che sono riuscito a raccogliere i dati (criptati) inclusi nel POST, li decodifica insieme ai contenuti di un altro file lasciato nell'host, e invia una risposta confezionata in un'intestazione HTTP 503.
Dal comportamento, ho la sensazione che questo sistema sia stato configurato come host di controllo per una botnet.
Sono riuscito a salvare una copia del codice PHP e l'acquisizione di pacchetti di uno dei bot che tentano di postare dopo aver già disattivato il sito ... Ma ora cosa ne faccio? Non ho il tempo o la competenza per analizzare ulteriormente quella dannata cosa, a quali gruppi dovrei inoltrare il lotto?