La pagina indice è stata compromessa, i file sospetti vengono visualizzati

Che cos'è?

Il file PHP è una backdoor XSS . Consente all'utente malintenzionato di fornire qualsiasi codice HTML con JavaScript nel contesto del tuo sito. Questo gli consente l'accesso ai cookie impostati dal tuo sito.

Un utente malintenzionato indurrà una vittima a fare una richiesta POST a quel file con il codice maligno nella variabile wproPreviewHTML. Se quell'utente ha permessi speciali dalla tua parte e. g. poiché è loggato, l'attaccante sarà in grado di fare qualsiasi cosa, che l'uso può fare.

Anche l'errore proibito potrebbe essere sospetto. Alcuni software dannosi cercano di nascondi nel documento di errore . Poiché i documenti di errore sono solitamente al di fuori della cartella radice del documento per le normali pagine Web, c'è una probabilità abbastanza alta che tali modifiche non vengano notate.

Che cosa fare ora?

Devi configurare il tuo server da zero , poiché non puoi conoscere l'impatto completo della manipolazione. È probabile che ci sia una backdoor nascosta da qualche parte. Non copiare alcun file di programma (inclusi script e file php) dal server compromesso a quello nuovo.

Inoltre ci sono alcuni programmi maligni per computer desktop, che manipolano i file php durante il caricamento tramite FTP o SFTP.

Il sito è stato violato? Segui questo elenco di controllo:

• Rimuovi TUTTI i file dal server e ripristina da un backup "noto". Se non esiste alcun backup di questo tipo, reinstallalo dal sorgente e importa solo i tuoi dati , non tutti i file del programma (ad es. PHP).

• Cambia tutte le tue password. Tra cui:

  • password FTP

  • Password del database

  • password di amministrazione del sito.

• Disattiva plugin, moduli, ecc.

• Rimuovi qualsiasi software inutilizzato (ad es. quel blog che non usi mai, o lo strumento di amministrazione del database che hai usato solo una volta)

• Aggiorna tutti i software web che utilizzi (ad es. Joomla, wordpress, ecc.) e tutti i moduli e plug-in rimanenti alla versione più recente.

• Aggiorna i componenti del tuo software di sistema alla versione più recente. (ad esempio apt-get update && apt-get upgrade o yum update )

• Abilitazione dell'aggiornamento automatico ove possibile.

Considera strongmente utilizzando i controlli del sistema operativo per fornire un ulteriore livello di controllo e auditing sul tuo server web.

Prendi anche il tempo di leggere tutte le risposte su quella domanda.

Questo file .wysiwygPro_preview_eacf331f0ffc35d4b482f1d15a887d3b.php non è una backdoor di cui preoccuparsi. È creato dal gestore file cpanel ogni volta che si utilizza l'editor html incorporato nel file manager di cpanel.

I file dovrebbero essere cancellati anche se vengono lasciati indietro dall'editor.

Come ha risposto Chris Davis, il file PHP non è una backdoor dannosa; è creato dall'editor WYSIWYG del file manager cPanel ed è estremamente improbabile che il file abbia qualcosa a che fare con il sito che viene reso illeggibile.

Questo non è tanto insicuro quanto sembra nel post originale. Il nome del file è una lunga stringa casuale e un'altra stringa casuale lunga deve essere passata ad essa per fare qualsiasi cosa. Quella stringa viene aggiornata ogni volta che l'editor salva. Il resto del file ha un aspetto simile al seguente:

<?php
if ($_GET['randomId'] != "AYEPENANR_zMBVyKHKQAYv6UF6nPMY5xV6iFIvaOQTTw0lLpE1O2SH0ZzoSfvUuY") {
    echo "Access Denied";
    exit();
}

// display the HTML code:
echo stripslashes($_POST['wproPreviewHTML']);

?>

Non è un sicuramente malware.

Almeno, non nel senso inteso per motivi dannosi ...

Nel caso tu stia utilizzando cpanel e tu abbia usato il IP Deny Manager per bloccare l'accesso a 121.54.58.159 allora questo verrà automaticamente scritto nel tuo file .htaccess con lo scopo di bloccare quell'IP (e qualsiasi altro tu voglia inserire):

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 121.54.58.159

Utilizzi cpanel e se sì, ti ricordi di averlo fatto?