napadený web
Dobrý den.
Stránky o které se starám (jsou na wedosu), byly napadeny.
Projevuje se to tak, že nějaký robot na nich v každé složce, do které se vstoupí (při FTP přístupu, možná i za jiné sitauce) vygeneruje php soubor, který začíná tečkou a jméno je dále tvořeno jménem nadřazené složky. Obsah tohoto souboru je vždy stejný a obsahuje dva řetězce uložené v proměnných které v zakódovaném tvaru osahují nějaký PHP kód, který se následně pomocí eval asi má vykonat (pokud se s tím už někdo setkal, velikost souborů je vždy 3700B).
Protože nevím, jak najít toho robota, zkusil jsem si napsat skript, který by rekurzivně procházel složky a tyto soubory mazal. Narazil jsem ovšem na to, že když soubor začíná tečkou, je zřejmě systémový (nejsem příliš kovaný v linuxu, ale takhle jsem si to vysvětlil) a ten můj skript ho nenajde. Když jsem ho upravil, aby nacházel i ty soubory začínající tečkou, přestala mi fungovat rekurze.
Mám tedy dota, zda už se někdo s něčím podobným setkal a jestli přišel na toho robota, resp. jestli by mi někdo neporadil s tím mazáním?
Zkusím ještě přímou otázku na adminstrátory wedosu, jestli by mi nepomohli s mazáním přímo oni?
Děkuji za jakoukoliv nápovědu nebo radu.
1 Odpověď
Dobrý den,
soubory začínající tečkou jsou v Linuxu skryté, ošetřete tedy ve Vašem kódu příkaz tak, aby do vyhledávání zahrnul i skryté soubory.
Vhodnějším řešením je ale web odvirovat. Takovou službu z naší strany bohužel nepodporujeme, obraťte se tedy na odborníka v této oblasti.