Поиск и устранение вредоносного кода на сайте. Брутфорс.
|
|
С сайта идет вредоносная активность (брутфорс) На сервере появляется не понятный процесс # ps auxf | grep host medterra 32586 0.9 0.1 1059092 18860 ? Ssl May31 120:45 /usr/bin/host Смотрим что за процесс и что он делает
# lsof -p 32586 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME host 32586 medterra cwd DIR 0,23 4096 78382962 /home/medterra/www/domain.com/bitrix/image_uploader host 32586 medterra rtd DIR 0,23 4096 52592642 / host 32586 medterra txt REG 0,23 69104 52887921 /usr/bin/host host 32586 medterra mem REG 8,4 52609416 /lib/libnss_dns-2.5.so (path dev=0,23) host 32586 medterra mem REG 8,4 52609662 /lib/libnss_files-2.5.so (path dev=0,23) host 32586 medterra mem REG 8,4 78383789 /home/medterra/www/domain.com/bitrix/image_uploader/.sd0 (path dev=0,23) host 32586 medterra mem REG 8,4 52609427 /lib/libsepol.so.1 (path dev=0,23) host 32586 medterra mem REG 8,4 52610195 /lib/libselinux.so.1 (path dev=0,23) host 32586 medterra mem REG 8,4 52610359 /lib/libresolv-2.5.so (path dev=0,23) host 32586 medterra mem REG 8,4 52609444 /lib/libkeyutils-1.2.so (path dev=0,23) host 32586 medterra mem REG 8,4 52907368 /usr/lib/libkrb5support.so.0.1 (path dev=0,23) host 32586 medterra mem REG 8,4 52609589 /lib/libcom_err.so.2.1 (path dev=0,23) host 32586 medterra mem REG 8,4 52906965 /usr/lib/libk5crypto.so.3.1 (path dev=0,23) host 32586 medterra mem REG 8,4 52907331 /usr/lib/libkrb5.so.3.3 (path dev=0,23) host 32586 medterra mem REG 8,4 52610421 /lib/libz.so.1.2.3 (path dev=0,23) host 32586 medterra mem REG 8,4 52609508 /lib/libdl-2.5.so (path dev=0,23) host 32586 medterra mem REG 8,4 52609395 /lib/libc-2.5.so (path dev=0,23) host 32586 medterra mem REG 8,4 52609592 /lib/libpthread-2.5.so (path dev=0,23) host 32586 medterra mem REG 8,4 52609590 /lib/libnsl-2.5.so (path dev=0,23) host 32586 medterra mem REG 8,4 52907050 /usr/lib/libisccc.so.0.2.3 (path dev=0,23) host 32586 medterra mem REG 8,4 52907298 /usr/lib/libgssapi_krb5.so.2.2 (path dev=0,23) host 32586 medterra mem REG 8,4 52609452 /lib/libcrypto.so.0.9.8e (path dev=0,23) host 32586 medterra mem REG 8,4 52906930 /usr/lib/libisc.so.15.0.2 (path dev=0,23) host 32586 medterra mem REG 8,4 52907079 /usr/lib/libisccfg.so.1.0.10 (path dev=0,23) host 32586 medterra mem REG 8,4 52907328 /usr/lib/libbind9.so.0.0.11 (path dev=0,23) host 32586 medterra mem REG 8,4 52907223 /usr/lib/libdns.so.26.0.2 (path dev=0,23) host 32586 medterra mem REG 8,4 52907074 /usr/lib/liblwres.so.9.2.0 (path dev=0,23) host 32586 medterra mem REG 8,4 78383213 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/bruteforce.so (stat: No such file or directory) host 32586 medterra mem REG 8,4 78383627 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/bruteforceng.so (stat: No such file or directory) host 32586 medterra mem REG 8,4 78383214 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/libworker.so (stat: No such file or directory) host 32586 medterra mem REG 8,4 52609404 /lib/ld-2.5.so (path dev=0,23) host 32586 medterra mem REG 8,4 52887921 /usr/bin/host (path dev=0,23) host 32586 medterra 0r CHR 1,3 20569 /dev/null host 32586 medterra 1r CHR 1,3 20569 /dev/null host 32586 medterra 2r CHR 1,3 20569 /dev/null host 32586 medterra 3r CHR 1,3 20569 /dev/null host 32586 medterra 4u IPv4 94870050 TCP ru101.activeby.net:55894->usve36472.startvps.com:http (ESTABLISHED) host 32586 medterra 5u IPv4 94869892 TCP ru101.activeby.net:57093->apache2-kant.powerade.dreamhost.com:http (ESTABLISHED) host 32586 medterra 6u IPv4 94869830 TCP ru101.activeby.net:44914->master.elitada.com:http (ESTABLISHED) host 32586 medterra 7u IPv4 94869961 TCP ru101.activeby.net:38842->server213-171-219-5.livedns.org.uk:http (ESTABLISHED) host 32586 medterra 8u IPv4 94870020 TCP ru101.activeby.net:48717->eagles171.ucg-core.com:http (ESTABLISHED) host 32586 medterra 9u IPv4 94869858 TCP ru101.activeby.net:45914->cwhtor3.canadianwebhosting.com:http (ESTABLISHED) host 32586 medterra 10u sock 0,5 94870164 can't identify protocol host 32586 medterra 11u IPv4 94869842 TCP ru101.activeby.net:40070->alapaap.rebelpixel.com:http (ESTABLISHED) host 32586 medterra 12u IPv4 94870147 TCP ru101.activeby.net:54579->w9c.rzone.de:http (ESTABLISHED) host 32586 medterra 13u IPv4 94869944 TCP ru101.activeby.net:43147->110.4.46.35:http (ESTABLISHED) host 32586 medterra 14u sock 0,5 94870136 can't identify protocol host 32586 medterra 15u IPv4 94869674 TCP ru101.activeby.net:41497->web210.brainhost.com:http (SYN_SENT) host 32586 medterra 16u IPv4 94870014 TCP ru101.activeby.net:38328->198-154-229-193.unifiedlayer.com:http (ESTABLISHED) host 32586 medterra 17u IPv4 94869245 TCP ru101.activeby.net:42982->110.4.46.35:http (ESTABLISHED) host 32586 medterra 18u IPv4 94870024 TCP ru101.activeby.net:54950->93-89-236-235.fbs.com.tr:http (ESTABLISHED) host 32586 medterra 19u IPv4 94870105 TCP ru101.activeby.net:35590->ip-192-186-252-200.ip.secureserver.net:http (SYN_SENT) host 32586 medterra 20u sock 0,5 94870144 can't identify protocol host 32586 medterra 21u IPv4 94869723 TCP ru101.activeby.net:54484->w9c.rzone.de:http (ESTABLISHED) host 32586 medterra 22u IPv4 94869964 TCP ru101.activeby.net:46886->goldenfast.net:http (ESTABLISHED) # ll /proc/32586/ total 0 -r-------- 1 medterra medterra 0 Jun 9 04:22 auxv -r--r--r-- 1 medterra medterra 0 Jun 9 04:21 cmdline -rw-r--r-- 1 medterra medterra 0 Jun 9 04:22 coredump_filter -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 cpuset lrwxrwxrwx 1 medterra medterra 0 Jun 9 04:22 cwd -> /home/medterra/www/domain.com/bitrix/image_uploader -r-------- 1 medterra medterra 0 Jun 9 04:22 environ lrwxrwxrwx 1 medterra medterra 0 Jun 9 04:22 exe -> /usr/bin/host dr-x------ 2 medterra medterra 0 Jun 9 04:22 fd dr-x------ 2 medterra medterra 0 Jun 9 04:22 fdinfo -r-------- 1 medterra medterra 0 Jun 9 04:22 io -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 limits -rw-r--r-- 1 medterra medterra 0 Jun 9 04:22 loginuid -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 maps -rw------- 1 medterra medterra 0 Jun 9 04:22 mem -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 mounts -r-------- 1 medterra medterra 0 Jun 9 04:22 mountstats -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 numa_maps -rw-r--r-- 1 medterra medterra 0 Jun 9 04:22 oom_adj -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 oom_score lrwxrwxrwx 1 medterra medterra 0 Jun 9 04:22 root -> / -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 schedstat -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 smaps -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 stack -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 stat -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 statm -r--r--r-- 1 medterra medterra 0 Jun 9 04:17 status dr-xr-xr-x 103 medterra medterra 0 Jun 9 04:22 task -r--r--r-- 1 medterra medterra 0 Jun 9 04:22 wchan
Теперь разбираем что этот вывод означает =)
Путь к одному из файлов который используется для работы скрипта. host 32586 medterra mem REG 8,4 78383789 /home/medterra/www/domain.com/bitrix/image_uploader/.sd0 (path dev=0,23) Процесс оказывается хитрым так как скрывает свои следы файл /home/medterra/www/domain.com/bitrix/image_uploader/.sd0 оказывается бинарным и что он делает не понять.
Процесс оказывается еще более хитрым, строчка host 32586 medterra mem REG 8,4 78383213 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/bruteforce.so (stat: No such file or directory) Обозначает, что процесс для своей работы использует библиотеку: /home/medterra/www/domain.com/bitrix/image_uploader/bruteforce.so которая удалена. Т.е.. Процесс запущенный из файла удаляет сами файлы, чтобы скрыть себя, при этом остается висеть в памяти сервера. Тоже самое касается и файлов: host 32586 medterra mem REG 8,4 78383627 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/bruteforceng.so (stat: No such file or directory) host 32586 medterra mem REG 8,4 78383214 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/libworker.so (stat: No such file or directory) По названию удаленных библиотек можно сделать вывод что процесс осуществляет bruteforce атаку, хотя это не обязательно.
Примеры строчек: host 32586 medterra 4u IPv4 94870050 TCP ru101.activeby.net:55894->usve36472.startvps.com:http (ESTABLISHED) обозначают что процесс устанавливает HTTP соединение с локального сервера ru101.activeby.net на удаленный хост usve36472.startvps.com
Строчки вида: host 32586 medterra 15u IPv4 94869674 TCP ru101.activeby.net:41497->web210.brainhost.com:http (SYN_SENT) обозначают, что процесс начинает отправлять SYN пакеты с на удаленный хост.
Множества различных соединений обозначает, что это действительно брутфорс атака.
Строчка: lrwxrwxrwx 1 medterra medterra 0 Jun 9 04:22 cwd -> /home/medterra/www/domain.com/bitrix/image_uploader показывает откуда был запущен процесс.
Начинаем разбирать, что же происходит на сайте. заходим в директорию /home/medterra/www/domain.com/bitrix/image_uploader и выводим список всех файлов.
# ls -la total 9164 drwxr-xr-x 7 medterra medterra 4096 Jun 5 20:22 . drwxr-xr-x 21 medterra medterra 4096 May 31 15:25 .. -rw-r--r-- 1 medterra medterra 102 Oct 26 2012 .htaccess -rw-r--r-- 1 medterra medterra 12582912 Jun 5 20:22 .sd0 -rw-r--r-- 1 medterra medterra 1774225 Oct 26 2012 ImageUploader.cab -rw-r--r-- 1 medterra medterra 916922 Oct 26 2012 ImageUploader.jar -rw-r--r-- 1 medterra medterra 2195771 Oct 26 2012 ImageUploader7.cab -rw-r--r-- 1 medterra medterra 1065538 Oct 26 2012 ImageUploader7.jar -rw-r--r-- 1 medterra medterra 2454379 Oct 26 2012 ImageUploader7_x64.cab drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 ImageUploaderFlashPHP drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 ImageUploaderPHP -rw-r--r-- 1 medterra medterra 26205 Oct 26 2012 aurigma.uploader.installationprogress.js -rw-r--r-- 1 medterra medterra 228485 Oct 26 2012 aurigma.uploader.js -rw-r--r-- 1 medterra medterra 1000 Oct 26 2012 bximageuploader.css -rw-r--r-- 1 medterra medterra 13767 Oct 26 2012 bximageuploader.js -rw-r--r-- 1 medterra medterra 239 May 25 21:19 conf.php drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 flash drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 images -rw-r--r-- 1 medterra medterra 62818 Oct 26 2012 iuembed.js drwxr-xr-x 4 medterra medterra 4096 Oct 26 2012 lang -rw-r--r-- 1 medterra medterra 10840 Oct 26 2012 localization.php -rw-r--r-- 1 medterra medterra 218276 May 26 23:07 sears-atom.php -rw-r--r-- 1 medterra medterra 88800 May 21 15:42 tppp.php -rw-r--r-- 1 medterra medterra 606 Oct 26 2012 version.php
Становится ясно, что вирус попал на сайт через компонент Bitrix "image_uploader".
Продолжая анализ можно заметить что в этой директории все файлы за одну дату а всего лишь несколько за другую просмотрим содержимое. Бросаются в глаза 3 файла за май месяц: -rw-r--r-- 1 medterra medterra 218276 May 26 23:07 sears-atom.php -rw-r--r-- 1 medterra medterra 88800 May 21 15:42 tppp.php -rw-r--r-- 1 medterra medterra 239 May 25 21:19 conf.php
Просмотрел файл tppp.php можно заметить что в нем содержится уже известная вредоносная "функция eval(base64" с закодированными данными.
файл conf.php, в данном случае, содержит значение: <?php $t = isset($_GET['t'])?$_GET['t']:''; if ($t==1) header('Location: http://c.cpl2.ru/5YVe',true,301); elseif ($t==2) header('Location: http://bit.ly/1jPgirH',true,301); else header("HTTP/1.0 404 Not Found"); exit; ?> По всей видимости это откуда берется вредоносный код.
Файл sears-atom.php содержит код вида: <?php
header("Content-type: text/plain");
if (! function_exists('file_put_contents')) { function file_put_contents($filename, $data) { $f = @fopen($filename, 'w'); if (! $f) return false; $bytes = fwrite($f, $data); fclose($f); return $bytes; } }
@system("killall -9 ".basename("/usr/bin/host"));
$so32 = "\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x03\x00\x01\x00\x00\x00\x54\x0d\x00\x00\x34\x00\x00\x00\x48\x69\x00\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x0f\x00\x0c\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\x60\x ... ?> Становится ясно, что с этого файла и происходил первичный запуск вредоносного процесса.
Поиск по всему сайту файл за дату этих файлов результата не привел. А вот выполнение в корне сайта команды: # find ./ -name "*.php" | xargs grep "eval" --colo Помогло повторно обнаружить файл ./bitrix/image_uploader/tppp.php =)
Анализ логов Веб-сервера на наличие POST запросов: # cat ./domain.com.access.log | grep POST 184.82.179.101 - - [06/Nov/2013:05:47:52 +0400] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 191 "-" "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))" 35121 184.82.179.101 - - [06/Nov/2013:05:50:36 +0400] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 191 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9a3pre) Gecko/20070330" 27542 184.82.179.101 - - [06/Nov/2013:05:55:43 +0400] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 191 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.50" 34980 184.82.179.101 - - [06/Nov/2013:05:58:57 +0400] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 191 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0) Opera 12.14" 26733
Из этого видно, что на сам сайт идет брутфорс, т.е. постоянно пытаются подобрать пароль к админке сайта.
Но нас интересует уже известный нас image_uploader, делаем выборку: # cat ./domain.com.access.log | grep POST | grep upload
46.21.147.172 - - [26/May/2014:23:07:16 +0400] "POST /bitrix/image_uploader/tppp.php HTTP/1.0" 200 23938 "http://domian.com/bitrix/image_uploader/tppp.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.50" 119821 5.133.179.250 - - [26/May/2014:23:16:41 +0400] "POST /bitrix/image_uploader/sears-atom.php HTTP/1.0" 200 59 "http://www.google.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; rv:16.0.1) Gecko/20121011 Firefox/16.0.1" 20138846 46.21.147.172 - - [27/May/2014:19:36:08 +0400] "POST /bitrix/image_uploader/tppp.php HTTP/1.0" 200 91609 "-" "Mozilla/5.0 (Windows NT 6.2; rv:24.0) Gecko/20100101 Firefox/24.0" 503871 46.21.147.172 - - [27/May/2014:19:36:09 +0400] "POST /bitrix/image_uploader/tppp.php HTTP/1.0" 200 9934 "-" "Mozilla/5.0 (Windows NT 5.1; rv:23.0) Gecko/20130406 Firefox/23.0" 154074 46.21.147.172 - - [29/May/2014:15:49:59 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_uploader HTTP/1.0" - - "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 65327 46.21.147.172 - - [30/May/2014:14:17:20 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_uploader HTTP/1.0" 200 15561 "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 46932762 46.21.147.172 - - [30/May/2014:14:29:48 +0400] "POST /bitrix/image_uploader/info.php HTTP/1.0" 404 4141 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" 435910 46.21.147.172 - - [30/May/2014:14:29:49 +0400] "POST /bitrix/image_uploader/info.php HTTP/1.0" 404 4141 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" 117163 46.21.147.172 - - [31/May/2014:15:25:30 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_up1loader HTTP/1.0" 302 - "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 7315457 46.21.147.172 - - [31/May/2014:15:38:16 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_up1loader HTTP/1.0" 200 111452 "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 262639 46.21.147.172 - - [31/May/2014:15:42:17 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_up1loader
Наблюдаем запрос к зараженному файлу: 46.21.147.172 - - [26/May/2014:23:07:16 +0400] "POST /bitrix/image_uploader/tppp.php HTTP/1.0" 200 23938 "http://domain.com/bitrix/image_uploader/tppp.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.50" 119821
Очень интересный запрос, который показывает как файлы загружались: 46.21.147.172 - - [29/May/2014:15:49:59 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_uploader HTTP/1.0" - - "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 65327
Доступ к /bitrix/admin/fileman_file_upload.php обозначает, что загрузка происходило через админку сайта, т.е. по всей видимости злоумышленникам удалось подобрать пароль от админки сайта.
запрос: 46.21.147.172 - - [30/May/2014:14:29:49 +0400] "POST /bitrix/image_uploader/info.php HTTP/1.0" 404 4141 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" 117163 Злоумышленник пытается обратиться к файлу которого нет.
Еще один интересный запрос: 46.21.147.172 - - [31/May/2014:15:38:16 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_up1loader HTTP/1.0" 200 111452 "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 262639 Попытка загрузить файл в директорию image_up1loader
Подымаемся на одну директорию выше относительно /home/medterra/www/domain.com/bitrix/image_uploader т.е. в директорию /home/medterra/www/domain.com/bitrix/
и выводим список файлов и директорий: # ls -la total 156 drwxr-xr-x 21 medterra medterra 4096 May 31 15:25 . drwxr-x--x 16 medterra medterra 4096 May 31 14:17 .. -rw-r--r-- 1 medterra medterra 30 Oct 26 2012 .access.php drwxr-xr-x 3 medterra medterra 12288 Jan 10 2013 admin drwxr-xr-x 3 medterra medterra 4096 Jan 10 2013 cache drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 components -rw-r--r-- 1 medterra medterra 16753 Oct 26 2012 coupon_activation.php -rw-r--r-- 1 medterra medterra 159 Oct 26 2012 footer.php drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 gadgets -rw-r--r-- 1 medterra medterra 86 Oct 26 2012 header.php drwxr-xr-x 9 medterra medterra 4096 Jun 8 18:07 html_pages drwxr-xr-x 2 medterra medterra 4096 May 31 15:54 image_up1loader drwxr-xr-x 7 medterra medterra 4096 Jun 5 20:22 image_uploader drwxr-xr-x 7 medterra medterra 4096 Oct 26 2012 images -rw-r--r-- 1 medterra medterra 83 Oct 26 2012 index.php drwxr-xr-x 5 medterra medterra 4096 Oct 26 2012 js -rw-r--r-- 1 medterra medterra 47 Oct 26 2012 license_key.php drwxr-xr-x 3 medterra medterra 4096 Jun 9 05:36 managed_cache drwxr-xr-x 6 medterra medterra 4096 Oct 26 2012 modules -rw-r--r-- 1 medterra medterra 98 Oct 26 2012 p3p.xml drwxr-xr-x 4 medterra medterra 4096 Jan 10 2013 panel drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 php_interface -rw-r--r-- 1 medterra medterra 74 Oct 26 2012 rss.php drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 sounds -rw-r--r-- 1 medterra medterra 73 Oct 26 2012 spread.php drwxr-xr-x 6 medterra medterra 4096 Oct 26 2012 templates drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 themes drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 tools drwxr-xr-x 2 medterra medterra 4096 Jan 10 2013 updates -rw-r--r-- 1 medterra medterra 203 Oct 26 2012 urlrewrite.php -rw-r--r-- 1 medterra medterra 3190 Oct 26 2012 virtual_file_system.php -rw-r--r-- 1 medterra medterra 315 Oct 26 2012 web.config drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 wizards
И находим 2 очень похожие директории drwxr-xr-x 2 medterra medterra 4096 May 31 15:54 image_up1loader drwxr-xr-x 7 medterra medterra 4096 Jun 5 20:22 image_uploader
Директория image_up1loader оказывается пустой.
Зачастую такие похожие директории или файлы маскируют, чтобы вредоносный код было сложнее найти.
ИТОГ
| |
Если решение вопроса найти не удалось, Вы можете отправить нам заявку: |