Qu'est-ce que deleteme.xxxxxxxxx.php

Question

Je parcourais des journaux de pages sur awstats et j'ai remarqué les deux entrées suivantes:

/deleteme.lcivykmt.php /deleteme.nctqicjg.php

Je me demandais si quelqu'un les reconnaissait et si je devais enquêter.

Je suppose que ce n'est pas grave, car ils sont listés comme des erreurs de pages non trouvées par mon cms, mais est-ce que quelqu'un sait à quel logiciel cela serait destiné?

MrWhite · Accepted Answer

Ces fichiers ressemblent à des fichiers d'installation pour quelque chose comme Wordpress, Joomla ou Drupal etc., et s'ils sont laissés sur le système doutent de la possibilité pour les pirates. Les "méchants robots" vérifient au hasard ces types de fichiers (laissés par des installations incomplètes) afin de trouver des sites vulnérables. Bien que la partie 'lcivykmt' du nom de fichier devrait être une chaîne de caractères aléatoire, j'aurais pensé que cela devrait être très difficile à deviner?!

rev · Answer

Celles-ci apparaissent sur mon installation Wordpress chaque fois que le script cPanel Installatron s'exécute pour la mise à jour automatique. Ils proviennent du script cPanel Installatron. Si vous avez installé Wordpress via un script cPanel et que vous le définissez pour la mise à jour automatique Wordpress, Installatron produira ces fichiers.

Ils sont sûrs à supprimer.

Sumaleth · Answer

deleteme.???.php est un script temporaire Installatron. Il devrait être auto-supprimant, donc le fait qu'il reste signifie que le script s'est écrasé au milieu de la tâche. Cela peut avoir été lors de l'installation d'origine de l'application, lors d'une sauvegarde ou lors d'une mise à jour.

Si les notifications sont activées, vous devriez recevoir un courrier électronique lorsque l’une de ces tâches échoue.

Et ces fichiers devraient être supprimés si vous les repérez dans votre compte (à moins que leur horodatage ne ressemble à "maintenant", bien sûr). La même chose avec les anciens scripts nommés itron.php.

Flavius · Answer

C'est probablement un bot qui teste la sécurité de votre site. Interdire ces adresses IP:

iptables -A INPUT -s <IP> -j DROP

Remarque: si vous redémarrez, les règles iptables sont perdues, veillez à utiliser un système de persistance.

markus · Answer

Ces fichiers ouvriraient probablement un vecteur d’attaque et c’est la raison pour laquelle des robots malfaisants les recherchent sur les serveurs qu’ils analysent.