www.MegaLab.it

da **19Natale83** » sab lug 02, 2011 8:08 pm

Ciao a tutti!
Stavo facendo una pulizia del mio sito, creato con Drupal, e nella cartella "includes" ho trovato un file .php, chiamato "list2" che non è presente quando scarico Drupal e che il mio antivirus rileva come virus, o almeno come minaccia.
Siccome non trovo la funzione per allegare il file, potete scaricarlo da qui (ho messo il contenuto del php in un file testo).
Potreste dirmi cos'è e soprattutto com'è finito in quella cartella?
Grazie!

da **ste_95** » dom lug 03, 2011 9:23 am

È una shell, in particolare, è questa. Cancellala subito, ma soprattutto cerca di capire come c'è finita [;)]

da **19Natale83** » dom lug 03, 2011 9:44 am

Premetto che ignoro cosa sia una shell, comunque l'ho cancellata, solo che non saprei proprio come c'è finita!

da **ste_95** » dom lug 03, 2011 2:51 pm

19Natale83 ha scritto:Premetto che ignoro cosa sia una shell, comunque l'ho cancellata, solo che non saprei proprio come c'è finita!

Per fartela breve:

PHPShell ha scritto:It’s a tool you can use to execute arbitrary shell-commands or browse the filesystem on your remote webserver. This replaces, to a degree, a normal telnet connection, and to a lesser degree a SSH connection.
You use it for administration and maintenance of your website, which is often much easier to do if you can work directly on the server. For example, you could use PHP Shell to unpack and move big files around. All the normal command line programs like ps, free, du, df, etc… can be used.

Ad ogni modo, ho fatto un breve giro per il sito e non mi sembra di aver incontrato nessuna possibilità di upload, non in quella cartella sicuramente. [boh]

da **19Natale83** » dom lug 03, 2011 3:00 pm

ste_95 ha scritto:Ad ogni modo, ho fatto un breve giro per il sito e non mi sembra di aver incontrato nessuna possibilità di upload, non in quella cartella sicuramente.

Booo! Io di certo non l'ho caricato, neanche per sbaglio perché è una cartella in cui ci sono files di Drupal, quindi non ci entro per nessun motivo!
Ho cercato di ricordare le ultime modifiche fatte e l'unica è stata l'installazione del modulo "Google+", scaricato dal sito ufficiale, quindi non penso possa contenere stranezze...
Vabbè, per ora l'importante è che sia tutto ok...

Grazie ragazzi!

da **ste_95** » dom lug 03, 2011 3:05 pm

19Natale83 ha scritto:Vabbè, per ora l'importante è che sia tutto ok...

Tieni comunque d'occhio la faccenda per un po' [;)]

da **19Natale83** » dom lug 03, 2011 3:08 pm

ste_95 ha scritto:
19Natale83 ha scritto:Vabbè, per ora l'importante è che sia tutto ok...

Tieni comunque d'occhio la faccenda per un po'

Sicurissimo! [^]

da **Andy94** » dom lug 03, 2011 6:25 pm

Aggiungo solo una piccola cosa.
Prova a pensare se qualcuno possa aver scoperto la password FTP del tuo server (non voglio allarmarti, sia chiaro). Eventualmente cambiala con qualcosa di più complicato. [^]

da **M@ttia** » dom lug 03, 2011 8:25 pm

Andy94 ha scritto:Aggiungo solo una piccola cosa.
Prova a pensare se qualcuno possa aver scoperto la password FTP del tuo server (non voglio allarmarti, sia chiaro). Eventualmente cambiala con qualcosa di più complicato.

www.MegaLab.it

File .php sospetto

File .php sospetto

Re: File .php sospetto

Re: File .php sospetto

Re: File .php sospetto

Re: File .php sospetto

Re: File .php sospetto

Re: File .php sospetto

Re: File .php sospetto

Re: File .php sospetto

Chi c’è in linea