Un pirate a uploadé le fichier l_backuptoster.php sur mon site

arnoweb · 17 Mars 2010

Salut,

J'ai découvert hier avec grande surprise qu'un fichier a été uploadé sur mon serveur à 2 endroits (peut-être à d'autres endroits que je n'ai pas encore répérés)
/l_backuptoster.php
/www/l_backuptoster.php

Je n'ai jamais mis ce fichier donc quelqu'un (pirate) l'a mis.

J'ai ouvert le fichier, voici ce qu'il contient

----------------------------------------------------------------

edit dd32 : désolée il vaut mieux ne pas diffuser ce code malicieux ici :/

------------------------------------------------------------

Savez-vous ce qu'il s'est passé ?

Quel type d'action effectue ce code ?

Merci pour votre aide !

dd32 · 17 Mars 2010

Bonsoir,

Si tu fais une recherche Google sur le nom du fichier tu trouves plusieurs cas de personnes infectées tout comme toi.
http://www.freeguppy.org/thread.php?lng=fr&cat=100&pg=215168&id=2

Personnellement, la 1ere question que je me pose c'est : as-tu un CMS sur ton site ? as-tu bien réalisé les mises à jour ?
Est-ce un dédié que tu gères toi-même ? Si oui, mêmes questions : est-ce à jour ?

As-tu une sauvegarde (voir plusieurs) histoire de pouvoir revenir à une version stable de ton site ?

Il s'agit d'un vers qui affecte des sites afin de spammer (les medocs classiques...).

Le mieux est de tout supprimer et de repartir d'une base saine.

Pense aussi à prévenir ton hébergeur.

Bon courage !

arnoweb · 18 Mars 2010

Personnellement, la 1ere question que je me pose c'est : as-tu un CMS sur ton site ? as-tu bien réalisé les mises à jour ?
--> Oui, une ancienne version de Xoops.

Est-ce un dédié que tu gères toi-même ? Si oui, mêmes questions : est-ce à jour ?
--> Non mutualisé

As-tu une sauvegarde (voir plusieurs) histoire de pouvoir revenir à une version stable de ton site ?
--> Je n'ai pas fais de sauvegarde ces derniers temps mais le site est stable, hormis ces fichiers présents sur mon site

dd32 · 18 Mars 2010

Pour avoir vécu la même expérience sur un mutu (avec dotproject à l'époque), si c'est une ancienne version de Xoops le problème persistera et ton ndd étant maintenant connu des robots spammeurs (comme ayant ce genre de failles, si tu laisses ton site ainsi, cela va revenir...
Perso le fichier infecté était allé se loger dans des répertoires parents auxquels je n'avais pas accès... Seul mon hébergeur pouvait résoudre ce souci. De plus certains répertoires/fichiers ne pouvaient pas être supprimés (pour des raisons de droits).

Je serai toi je ne prendrai pas de risques et je repartirai d'une base saine.

Nassou_dz · 18 Mars 2010

Ce fichier ne s'est pas uploader tout seul...

- Quel type d'action effectue ce code ?

Je pense à une faille RFI , y'a peut-être un petit noob qui s'amuse ?