Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
berix

złośliwy skrypt

Przez berix, w Programowanie i Bazy danych

Polecane posty

berix    10

berix
Napisano

Pisze tak z ciekawości do czego służył ten złośliwy skrypt php, i co on powodował

 

http://pastebin.com/ryr35SPH

 

ktoś mi go wgrał (nie wiadomo jak) znajdował się on w na stronie opartej na wordpress w folderze /{theme}/cache/

 

szukając w google

/******************************************/

/* [ * ] RELOAD-X SHELL [ * ] */

/* Edited by bogel */

/* PONTIANAK CYBER CREW */

/******************************************/

 

lub

 

PHPShell by CempLe

 

nic nie zjaduje

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

SanKen    63

SanKen
Napisano (edytowany)

PHP/Small.NAL koń trojański to mi ESET wykazał po wejściu na stronę http://pastebin.com/ryr35SPH

 

I najlepsze że na stronie też coś masz bo zrywa mi połączenie

JS/Iframe.DU koń trojański

 

- mowa o twojej stronie z sygnaturki... sprawdź całość...

Edytowano przez SanKen (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bartosz Stępień    75

Bartosz Stępień
Napisano

Ciekawy skrypt, z tego co mniej więcej przejrzałem to ktoś miał dostęp do twoich wszystkich plików, podmieniana miała być strona główna. Nie jestem pewien co robi ten kod:

<a href="#" onclick="set_arg('<?php echo $sh_mainurl."c99.txt"; ?>','b0gel.php')">[sHELL]</a>
   <a href="#" onclick="set_arg('<?php echo $sh_mainurl."psy.tar.gz"; ?>','psy.tar.gz')">[psyBNC]</a>
   <a href="#" onclick="set_arg('<?php echo $sh_mainurl."eggdrop.tar.gz"; ?>','eggdrop.tar.gz')">

Ale lepiej posprawdzaj wszystkie pliki, czy nie masz któregoś zedytowanego.

 

P.S mi dopiero przy próbie pobrania pliku wyskoczyło:

Strona zablokowana!

Program G Data InternetSecurity 2012 zablokował dostęp do strony.

Strona zawiera niebezpieczny kod: Backdoor.PHP.ALI (Skaner A), PHP:Shell-BH [Trj] (Skaner B).

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

berix    10

berix
Napisano

ja wiem że antyvirus wykrywa ale interesuje mnie jak to wrzucił i co on robi

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

xorg    693

xorg
Napisano

Jest to shell, taki sam jak np. niegdyś popularny r57 - co nim można zrobić to już zależy od konfiguracji serwera.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

mentor92    0

mentor92
Napisano

Shell , jest to skrypt php , często wrzucany na serwer poprzez RFI . Przewaznie daje on mozliwość edycji , pobierania plików z ftp , wykradanie bazy danych danego serwisu. Tak w skrócie.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

regdos    1848

regdos
Napisano

Sprawdzasz jaką ma datę modyfikacji ten plik a następnie szukasz w logach w okolicach tej daty dziwnych wywołań (jakiś POST-ów lub GET-ów z dziwnymi parametrami), których normalnie nie powinno być.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

kcp    41

kcp
Napisano

W skrócie: Jest to php-shell. Wgrywają go atakujący twoją witrynę do uzyskania accessu do ftp, bazy danych, wykorzystania serwera do łamania hashy. W sumie jest wiele zastosowań, wszystko zależy od shella.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Programowanie i Bazy danych
×