south_park 9 Опубликовано: 27 июля 2017 Рассказать Опубликовано: 27 июля 2017 Здравствуйте, обнаружил подозрительный файл boxsmall.php в папке /engine/ Содержимое закодировано, по дате изменения он от 03.16 (по wincsp ), но в бекапе от 12.16 его нет, а антивирус показывал примерную дату 02.17 года. Возможно ли определить, что делает данный файл? а так же, возможно, какой лог можно посмотреть на вопрос запросов к этому файлу от файлов скрипта или загруженных файлов. Файл: https://cloud.mail.ru/public/BAUb/ajpt85SPG PS, так же после использования антивируса в дле, заметил целую кучу файлов оставшихся от предыдущих версий скрипта, было бы неплохо в инструкции по обновлению давать список таких файлов которые нужно ручками подчистить. Цитата Ссылка на сообщение Поделиться на других сайтах
odys 384 Опубликовано: 27 июля 2017 Рассказать Опубликовано: 27 июля 2017 4 минуты назад, south_park сказал: а так же, возможно, какой лог можно посмотреть на вопрос запросов к этому файлу от файлов скрипта или загруженных файлов. а тех. поддержка хостинга, что говорит? 4 минуты назад, south_park сказал: PS, так же после использования антивируса в дле, заметил целую кучу файлов оставшихся от предыдущих версий скрипта, было бы неплохо в инструкции по обновлению давать список таких файлов которые нужно ручками подчистить. удаляй всё, что показывает антивирус Цитата Ссылка на сообщение Поделиться на других сайтах
south_park 9 Опубликовано: 27 июля 2017 Рассказать Опубликовано: 27 июля 2017 Автор 3 минуты назад, odys сказал: а тех. поддержка хостинга, что говорит? у меня свой сервер, глянул вчерашний access.log, прямых обращений к этому файлу нет, а где, возможно, есть еще какие логи. 6 минут назад, odys сказал: а тех. поддержка хостинга, что говорит? удаляй всё, что показывает антивирус понятно Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 077 Опубликовано: 28 июля 2017 Рассказать Опубликовано: 28 июля 2017 16 часов назад, south_park сказал: Здравствуйте, обнаружил подозрительный файл boxsmall.php в папке /engine/ Содержимое закодировано, по дате изменения он от 03.16 (по wincsp ), но в бекапе от 12.16 его нет, а антивирус показывал примерную дату 02.17 года. Возможно ли определить, что делает данный файл? а так же, возможно, какой лог можно посмотреть на вопрос запросов к этому файлу от файлов скрипта или загруженных файлов. Файл: https://cloud.mail.ru/public/BAUb/ajpt85SPG Шелл это. Может выполнить любые действия на сервере. Дата изменения это не дата его заливки. Кто ж вам в через полгода скажет о причинах появления. В логах вы этого уже по прошествии времени не найдете. На папку /engine/ прав на запись со стороны скриптов быть не должно. Может быть уязвимости на сервере, может быть неверно выставленные права доступа и его перенесли с другого места, может быть "занесли" со сторонними модулями и т.д. Теперь уж гадать можно бесконечно. Обнаруживать нужно в момент появления. Для этого в антивирусе есть возможность создания снимка файлов, а антивирус можно поставить на крон и он будет автоматически на e-mail уведомлять если что то изменилось. А через такой промежуток времени, причин вы уже не найдете. 16 часов назад, south_park сказал: PS, так же после использования антивируса в дле, заметил целую кучу файлов оставшихся от предыдущих версий скрипта, было бы неплохо в инструкции по обновлению давать список таких файлов которые нужно ручками подчистить. Так для этого антиивирус и существует, запуск его после обновления укажет на все что устарело и уже больше не нужно. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.