Is there any organization (law enforcement, security researchers, etc.) that would be interested to know about the attack, the code used, or any follow-up requests?
Il codice che hai postato nell'altro thread dà l'impressione di essere unico perché i creatori di malware utilizzano un algoritmo per generare una funzione di offuscamento leggermente diversa ogni volta . Ciò impedisce che venga visualizzato in Google o dal software AV riconoscendolo utilizzando una semplice corrispondenza stringa.
Tuttavia, la funzionalità di base (che è quella di prendere input esterni ed eseguirla attraverso exec ()) è incredibilmente comune. Ho incontrato personalmente almeno una dozzina di casi identici (e non lavoro in sicurezza o cose del genere) e immagino ci siano centinaia di migliaia di siti che eseguono questo codice in un dato momento. Il tuo host è probabilmente apatico perché ha già affrontato 10 diverse istanze quel giorno se sono un host di grandi dimensioni. È probabilmente improbabile che anche le forze dell'ordine siano interessate.
possibility that other servers under their control may have been effected
Gli utenti di hosting condivisi sono generalmente piuttosto isolati l'uno dall'altro. Come ho già detto, gli account di hosting condiviso vengono continuamente compromessi. La maggior parte delle società di hosting dispone anche di un software di gestione hosting condiviso, quindi se l'isolamento fosse realmente interrotto nel loro sistema sarebbe anche rotto per altri host e scoperto abbastanza rapidamente (anche se chissà, alcuni host potrebbero essere troppo pigri per aggiornare il loro software ).
It would be easy to set up a replacement script for "images.php" that would log any requests without executing them. So my question is, is there any reason to do that?
Potrebbe essere leggermente interessante, ma è una scommessa abbastanza sicura che l'unica cosa che otterrai sono script per l'invio di spam viagra.
The hosting company adamantly insists that if it happened at all, the only possible explanation is that my friend's password was compromised (somehow).
È possibile (e forse probabile). Quale client FTP usa? Molti client FTP ( cough FileZilla cough ) memorizzano le loro password in testo semplice e in una posizione molto prevedibile. In altre parole, è un bersaglio perfetto per malware sul suo PC.
È anche possibile che gli abbiano inviato una pagina di phishing che assomiglia al suo login di hosting, non sarebbe difficile determinare la sua compagnia di hosting o la sua email.
C'è qualche possibilità che sia stato compromesso attraverso una vulnerabilità nel sito, ma questo è improbabile se si tratta solo di un semplice sito di biglietti da visita che accetta pochi o nessun input esterno.
La linea di fondo è che i creatori di malware sono piuttosto incentivati a compromettere gli account di hosting. Di solito sono un obiettivo piuttosto facile e tutto lo spam nel mondo deve essere inviato da qualche parte!
In termini di pulizia, se hai solo pochi file, controlla semplicemente tutti loro. Altrimenti vai per data-timbro del file, ma a volte è possibile modificarlo.