La variabile $s21
è uguale a base64_decode
e $s22
è uguale a $_POST['nd335c3']
.
Ogni volta che viene effettuata una richiesta di POST
sul server, esegue qualsiasi comando in $_POST['nd335c3'];
che, come potete prevedere, è molto pericoloso.
Dubito fortemente che il tuo server sia stato violato, ma invece lo script del tuo sito Web è stato sfruttato. C'è un posto sul tuo sito dove gli utenti possono caricare i file? Ho visto un sacco di cose come questa con WordPress con Plugins male codificati.
risolvere il problema
Per risolvere il problema, prima cancellare il file o la sezione di codice. Potresti voler arrestare il tuo sito e metterlo in modalità di manutenzione fino a quando non puoi cercare e verificare che tutti gli altri file non siano stati modificati.
Una volta eseguito il backup del sito, è possibile registrare le richieste indirizzate a dove si trovava il file compromesso o richieste che contengono la stessa variabile POST.
Una volta che un utente invia i dati all'exploit, è possibile controllare tutti gli altri file di registro e confrontarli con lo stesso indirizzo IP e Agente utente. Questo è un campo lontano, ma si spera che usino solo un computer per fare l'attacco. Dai log puoi vedere esattamente cosa hanno visitato per eseguire l'attacco e caricare il file sfruttato.
Prevenire questo in futuro
- Non installare alcun codice a trovare on-line sul vostro sito a meno che non vi fidate lo sviluppatore e credere che sia completamente sicuro e sapere che rilasciano gli aggiornamenti.
- Imposta il tuo server web per non avere accesso in scrittura oltre alla directory di caricamento e
/tmp
- Verifica tutti i file caricati per assicurarti che siano esattamente come ti aspetti che siano.
- Non consentire l'esecuzione di PHP in cui vengono caricati i file, scaricare i file come file diretti statici. In questo modo, se è stato caricato un file che ignora i controlli dei file, non può comunque causare alcun danno.
se siete interessati il virus è PHP/Agent.NEH trojan – Martin
Questo è interessante. Grazie. Sai da qualche altra parte che posso trovare informazioni su di esso/in qualsiasi altro luogo che potrebbe essere stato infettato? –
Ha, vedo come l'hai scoperto. –