Ho un sistema che usa openx per servire banner. Recentemente ho notato che diversi file di cache in / var / cache contengono codice infetto. Il codice contiene query SQL che creano diversi file php nel filesystem. Questi file sono shell Web contenenti codice che consente a un utente malintenzionato di eseguire comandi di sistema operativo sul server openx. Il mio problema è che non ho idea di come la cache sia infetta. Sono ignorante su come vengono creati nuovi file nella cache e su come un utente malintenzionato può controllare il loro contenuto. Qualcuno ha familiarità con questa situazione o può indicarmi la giusta direzione?
alla fine intendo aggiornare la mia versione di openx ma, come parte della mia analisi forense, è importante per me capire quale fosse il modus operandi dell'attaccante?