Recentemente il mio sito web basato su php è stato infettato da malware (probabilmente da una password ftp rubata).
Fondamentalmente, ogni 30 minuti è stato caricato un file frame_cleaner_php.php, su di esso è stato fatto un HTTP-GET per eseguirlo ed è stato rimosso. Sono stato in grado di intercettare una copia del file e analizzarlo.
Non è stato offuscato in alcun modo ed è stato abbastanza facile da leggere.
Essenzialmente ha scansionato in modo ricorsivo tutti i file php, ha cercato 20 firme di infezioni dal comune altro malware (come <?php eval(base64_decode("
o <?PHP # Web Shell by oRb
) e ha rimosso rozzamente le linee con quell'infezione.
A causa di un falso positivo, alcune linee nei miei file php sono state rimosse, causando la caduta del sito. Questo era probabilmente solo un effetto collaterale non intenzionale del malware.
La grande domanda: perché il malware farebbe questo, cosa c'è da guadagnare?