De ieri si pana acum o ora m-am chinuit sa aflu care este problema la un server.
Ceva de pe server facea ca php sa tina cpu la 100% tot timpul si pe langa asta si un atac svn care nu stiu daca era generat de acest mic hack sau de altcineva.
Pentru ca erau multe site-uri pe server si N fisiere astazi am gasit aceasta arhiva pe unul din site-uri.
Aceasta arhiva c1.tar.gz a fost gasita in folderul wp-include/fonts/ care a facut folderul c1
Arhiva contine 2 fisiere.
.htaccess
si un fisier 1 fara extensie care in folderul dezarhivat erau toate fisierele la site-uri de pe server.
In folderul fonts au mai fost gasite urmatoarele fisiere si cele cu rosu sunt cele normale care ar trebui sa fie.
Decodarea la fisierul v3.php
http://www.unphp.net/decode/729ac83f009d895485700ebccb9b8fb3/
decodare la fisierul enadmin.php
http://www.unphp.net/decode/fb077b688eeee94bb2a9aef1c60e3a52/
decodare la fisierul font.php
http://www.unphp.net/decode/d9f0db9acac27cf8e2a434b3d1aba584/
decodare la fisierul proshell.php
http://www.unphp.net/decode/68345bf950b9f9474be27e0399149759/
Rog cei care sunt coderi sa vad ce face exact acest hack, poate va dati seama cum a intrat, prin ce vulnerabilitate.
Puteti descarca toate fisierele de aici
https://www.dropbox.com/s/ichdb3pqdvsitrt/fonts.zip?dl=0
parola la arhiva este numele la forum.
Prin ssh si ftp nu a intrat ca sunt parole puternice si as fi primit notificare in caz ca cineva se logheaza.
Eu cred ca este de la tema folosita de site sau poate de la un plugin.
Problema a aparut ieri la ora 13.30.
Ceva de pe server facea ca php sa tina cpu la 100% tot timpul si pe langa asta si un atac svn care nu stiu daca era generat de acest mic hack sau de altcineva.
Pentru ca erau multe site-uri pe server si N fisiere astazi am gasit aceasta arhiva pe unul din site-uri.
Aceasta arhiva c1.tar.gz a fost gasita in folderul wp-include/fonts/ care a facut folderul c1
Arhiva contine 2 fisiere.
.htaccess
Cod:
Options Indexes FollowSymLinks
DirectoryIndex ssssss.htm
AddType txt .php
AddHandler txt .php
In folderul fonts au mai fost gasite urmatoarele fisiere si cele cu rosu sunt cele normale care ar trebui sa fie.
Decodarea la fisierul v3.php
http://www.unphp.net/decode/729ac83f009d895485700ebccb9b8fb3/
decodare la fisierul enadmin.php
http://www.unphp.net/decode/fb077b688eeee94bb2a9aef1c60e3a52/
decodare la fisierul font.php
http://www.unphp.net/decode/d9f0db9acac27cf8e2a434b3d1aba584/
decodare la fisierul proshell.php
http://www.unphp.net/decode/68345bf950b9f9474be27e0399149759/
Rog cei care sunt coderi sa vad ce face exact acest hack, poate va dati seama cum a intrat, prin ce vulnerabilitate.
Puteti descarca toate fisierele de aici
https://www.dropbox.com/s/ichdb3pqdvsitrt/fonts.zip?dl=0
parola la arhiva este numele la forum.
Prin ssh si ftp nu a intrat ca sunt parole puternice si as fi primit notificare in caz ca cineva se logheaza.
Eu cred ca este de la tema folosita de site sau poate de la un plugin.
Problema a aparut ieri la ora 13.30.