Objawia się ona następującymi zmianami:
Zawartość artykułu
1. wgrywane są nowe pliki:
1 2 3 4 5 6 |
-rw-r--r-- 1 user user 743 lis 21 09:09 accesson.php -rw-r--r-- 1 user user 10443 lis 21 09:09 content-post.php -rw-r--r-- 1 user user 4821 lis 21 09:09 dump.php -rw-r--r-- 1 user user 299 lis 21 09:09 opn-post.php -rw-r--r-- 1 user user 29527 lis 21 09:09 search.php -rw-r--r-- 1 user user 24882 lis 21 09:09 wp-post.php |
2. usuwane są pliki blokujące:
np. plik
1 |
/assets/.htaccess |
o treści:
1 2 3 4 |
<Files "\.(php|tpl)$"> Order allow,deny Deny from all </Files> |
3. cel ataku
Przejęcie kontroli nad serwerem www i wysyłka SPAM
4. leczenie
a) usunięcie w/w plików php
b) przywrócenie w/w pliku blokującego
c) aktualizacja snippetów:
1 2 |
ajaxSearch ditto |
c) Modyfikacja kodu PHP w pliku:
1 |
/assets/snippets/ajaxSearch/classes/ajaxSearchResults.class.inc.php |
Zakomentowanie linii 727. Tzn zamiana:
1 2 3 4 5 |
if (substr($filterArray[1], 0, 5) != "@EVAL") { $this->_filterValue = $filterArray[1]; } else { $this->_filterValue = eval(substr($filterArray[1], 5)); } |
Na:
1 2 3 4 5 |
if (substr($filterArray[1], 0, 5) != "@EVAL") { $this->_filterValue = $filterArray[1]; } else { // $this->_filterValue = eval(substr($filterArray[1], 5)); } |