Hace unos días, alguien intentó descifrar mi sitio con un ataque de inclusión remota de archivos.
El servidor de seguridad de la aplicación web bloqueó el ataque, pero tenía curiosidad por el archivo.
Así que lo descargué comencé a examinarlo.
En primer lugar, el archivo se elimina a sí mismo:
unlink($_SERVER['SCRIPT_FILENAME'])
Luego comienza un bucle interminable a la espera de órdenes de un chat irc:
do{
//awaiting orders and executing them
}while(1)
Me preguntaba: si alguna vez me infecto con algo como esto:
- ¿Cómo puedo detectar la infección? ¿Tengo que confiar en mi sistema de seguridad de hosting?
- ¿Cómo puedo detener eso? Es un bucle sin fin cargado en la memoria. ¿Debo pedirle a mi hosting que reinicie el servicio o que mate mi proceso de php?