Skocz do zawartości
Zaloguj się, aby obserwować  
berix

złośliwy skrypt

Polecane posty

Pisze tak z ciekawości do czego służył ten złośliwy skrypt php, i co on powodował

 

http://pastebin.com/ryr35SPH

 

ktoś mi go wgrał (nie wiadomo jak) znajdował się on w na stronie opartej na wordpress w folderze /{theme}/cache/

 

szukając w google

/******************************************/

/* [ * ] RELOAD-X SHELL [ * ] */

/* Edited by bogel */

/* PONTIANAK CYBER CREW */

/******************************************/

 

lub

 

PHPShell by CempLe

 

nic nie zjaduje

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

PHP/Small.NAL koń trojański to mi ESET wykazał po wejściu na stronę http://pastebin.com/ryr35SPH

 

I najlepsze że na stronie też coś masz bo zrywa mi połączenie

JS/Iframe.DU koń trojański

 

- mowa o twojej stronie z sygnaturki... sprawdź całość...

Edytowano przez SanKen (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ciekawy skrypt, z tego co mniej więcej przejrzałem to ktoś miał dostęp do twoich wszystkich plików, podmieniana miała być strona główna. Nie jestem pewien co robi ten kod:

<a href="#" onclick="set_arg('<?php echo $sh_mainurl."c99.txt"; ?>','b0gel.php')">[sHELL]</a>
   <a href="#" onclick="set_arg('<?php echo $sh_mainurl."psy.tar.gz"; ?>','psy.tar.gz')">[psyBNC]</a>
   <a href="#" onclick="set_arg('<?php echo $sh_mainurl."eggdrop.tar.gz"; ?>','eggdrop.tar.gz')">

Ale lepiej posprawdzaj wszystkie pliki, czy nie masz któregoś zedytowanego.

 

P.S mi dopiero przy próbie pobrania pliku wyskoczyło:

Strona zablokowana!

Program G Data InternetSecurity 2012 zablokował dostęp do strony.

Strona zawiera niebezpieczny kod: Backdoor.PHP.ALI (Skaner A), PHP:Shell-BH [Trj] (Skaner B).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ja wiem że antyvirus wykrywa ale interesuje mnie jak to wrzucił i co on robi

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jest to shell, taki sam jak np. niegdyś popularny r57 - co nim można zrobić to już zależy od konfiguracji serwera.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Shell , jest to skrypt php , często wrzucany na serwer poprzez RFI . Przewaznie daje on mozliwość edycji , pobierania plików z ftp , wykradanie bazy danych danego serwisu. Tak w skrócie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprawdzasz jaką ma datę modyfikacji ten plik a następnie szukasz w logach w okolicach tej daty dziwnych wywołań (jakiś POST-ów lub GET-ów z dziwnymi parametrami), których normalnie nie powinno być.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W skrócie: Jest to php-shell. Wgrywają go atakujący twoją witrynę do uzyskania accessu do ftp, bazy danych, wykorzystania serwera do łamania hashy. W sumie jest wiele zastosowań, wszystko zależy od shella.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×