Перейти к контенту
  • 0

Вирус в дирректории ips_kernel/facebook-client


Вопрос

Всем привет.

 

Сегодня пришло сообщение от хостинга, якобы обнаружен вредоносный код.

Результат проверки антивируса Maldet:
{CAV}Php.Trojan.Webshell-5 : u0141063 : /var/www/u0145813/data/www/forum.sait.ru/ips_kernel/facebook-client/r2btpgf6.php

 Сам файл прикрепил.

 

Проверка делается ежедневно, однако сравнивая код этого файла с кодом файла из архива недельной давности, отличий никаких нет, код никак не поменялся.

 

Что это за файл и чем чревато его удаление?

 

Заранее признателен всем за подсказку.

r2btpgf6.zip

Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0

Сильно сомневаюсь, что это файл из дистрибутива движка. И по имени файла, и по содержимому весьма похож на вирус: берет данные из куков или из адресной строки (?XERATUTA=тут_любой_текст) и пишет в файл на диск.

Нормальный такой зверек.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Файл и правда шелл или его помощник. Удалить надо срочно. Перед этим выяснить время создания и посмотреть логи с целью нахождения способа его появления. Хотя, раз он есть в ваших старых архивах, то он там уже давно и логов нет. В дистрибутиве такого файла точно нет. Если злодей догадался сделать обфускацию лично, а не тупо скачал шелл в открытом коде и в том же виде залил на ваш сайт, то никакие антивирусы его не определят. Проверки, хоть ежеминутные, ничего не дадут. Можно контролировать все изменившиеся файлы, но тогда надо быть уверенным, что на старте они все были чистые.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Артём Фоминкакая у Вас версия движка?

3.4.7

Файл и правда шелл или его помощник. Удалить надо срочно. Перед этим выяснить время создания и посмотреть логи с целью нахождения способа его появления. Хотя, раз он есть в ваших старых архивах, то он там уже давно и логов нет. В дистрибутиве такого файла точно нет. Если злодей догадался сделать обфускацию лично, а не тупо скачал шелл в открытом коде и в том же виде залил на ваш сайт, то никакие антивирусы его не определят. Проверки, хоть ежеминутные, ничего не дадут. Можно контролировать все изменившиеся файлы, но тогда надо быть уверенным, что на старте они все были чистые.

К сожалению удалил не подумав посмотреть даты. Каким образом можно проверить все файлы?

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.