Расшифровка неизвесного файла на сервере.

при подключении к фтп - пароль передается в открытом виде т.е. его можно получить разными способами, как именно, не суть.

После этого "бот" подключается и заливает шелл

конечно, он подключается с "левого" адреса - поэтому тут поможет фаерволл

в фтп логах - можно посмотреть адрес с которого подключались, он там явно не ваш

---------- Добавлено 16.06.2014 в 22:44 ----------

с файлом надо попотеть, что б его раскодить, часть файла в куке передается

$_f__f=isset($_POST['_f__f'])?$_POST['_f__f']:(isset($_COOKIE['_f__f'])?$_COOKIE['_f__f']:NULL);

в пол пинка, не получилось раскодить

Яж написал что по логам там именно мой ip.

Плохо(

Очень странный вывод.

Сомнительное решение.

А никто не думал, что хостер просто прогнал пургу? А на самом деле файл попал через дырку в самом сайте.

Прикольная обфускация кода, первый раз вижу чтобы с куками было :)

А какая по сути разница, допустим я не буду раскодировать файл в принципе и скажу вам что посредством этого файла злоумышленник получает полный доступ к вашему акаунту (который он так же имеет с использованием вашего пароля) , естественно при этом он может менять любые файлы , менять любые данные, менять любые данные в базе данных, отправлять почту с вашего акаунта, а так же пользоваться ВСЕМИ функциями которые доступны вашему акаунту. Думаю должно быть достаточно, что бы понять - остальное не имеет смысла.... Как написали выше (я лично не смотрел), часть исполнительного когда вообще отсутствует, а это значит что понять истенной цели не удастся вообще.... часть кода которая передается злоумышленником в куках может содержать в 20 раз больше данных чем находится в приведенном вами файле. Единственный способ понять истину - это перехватить актуальный запрос и разобрать данные приходящие в нем, я когда-то страдал таким, однако правильно заметили - понять бы зачем... если бы я собирал сигнатуры - было бы полезно, но просто для любопытства - пустая трата времени.

---------- Добавлено 17.06.2014 в 15:24 ----------

Конечно, надо немедленно заказать у вас аналитку и анализ всех дырок во всех ПХП скриптах :)))

Увы, даже если все так как вы говорите - доказать это будет не реально...:)

можете спросить поступает ли так fastvps со своими клиентами на выделенных серверах у представителя на этом форуме (помню тема где-то была).

Ещё до 2008-х годов я помню на этом форуме народ любил отвечать в стиле "зачем это нужно, сделайте вот так" на чётко поставленный вопрос. Тенденции, я смотрю, за последние 6 лет не изменились).

Хостер запустил проверку - вредоносных файлов не обнаружено. Cureit и eset на локальном компе тоже угроз не нашли. Видимо был прецедент лунатизма с моей стороны в 10 утра)

А вы прочитали вторую часть моего сообщения о том, что именно делает этот скрипт.... Вы хотите знать больше - не удаляйте скрипт, пусть им пользуется злоумышленник, а вы логируйте его действия и анализируйте, но как я уже написал выше он сможет делать что угодно и каждый раз это что-то будет новеньким , а скрипт тот же :) 🍿 🍿 🍿

Если IP ваш, то вполне возможен бекконект. Даже старый немодифицированный WSO это умеет. Ну или у вас так сконфигурирован сервер.

И там ставятся куки, а нынче с куками без всяких модицикаций работает PAS-шелл, если память не изменяет. Во всяком случае, там их можно вручную указывать.

Судя по размеру в 21Kb это веб-шелл, именно столько весит WSO в пожатом виде.

А раскодировать будет не так просто, ибо там используется шифрование со сдвигом а-ля шифра Цезаря с ключом

$shell[$i] = chr((ord($shell[$i]) - ord($key[$i])) % 256);

$key .= $shell[$i];

Если перехватите этот ключ, сможете декодировать файл.