Перейти к публикации

Подозрительный файл, помогите понять, что он делает


Рекомендованные сообщения

Здравствуйте, обнаружил подозрительный файл boxsmall.php в папке /engine/

Содержимое закодировано, по дате изменения он от 03.16 (по wincsp ), но в бекапе от 12.16 его нет, а антивирус показывал примерную дату 02.17 года.

Возможно ли определить, что делает данный файл? а так же, возможно, какой лог можно посмотреть на вопрос запросов к этому файлу от файлов скрипта или загруженных файлов.

Файл: https://cloud.mail.ru/public/BAUb/ajpt85SPG

 

PS, так же после использования антивируса в дле, заметил целую кучу файлов оставшихся от предыдущих версий скрипта, было бы неплохо в инструкции по обновлению давать список таких файлов которые нужно ручками подчистить.

Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, south_park сказал:

а так же, возможно, какой лог можно посмотреть на вопрос запросов к этому файлу от файлов скрипта или загруженных файлов.

а тех. поддержка хостинга, что говорит?

 

4 минуты назад, south_park сказал:

PS, так же после использования антивируса в дле, заметил целую кучу файлов оставшихся от предыдущих версий скрипта, было бы неплохо в инструкции по обновлению давать список таких файлов которые нужно ручками подчистить.

удаляй всё, что показывает антивирус

Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, odys сказал:

а тех. поддержка хостинга, что говорит?

у меня свой сервер, глянул  вчерашний access.log, прямых обращений к этому файлу нет, а где, возможно, есть еще какие логи.

 

6 минут назад, odys сказал:

а тех. поддержка хостинга, что говорит?

 

удаляй всё, что показывает антивирус

понятно

Ссылка на сообщение
Поделиться на других сайтах
16 часов назад, south_park сказал:

Здравствуйте, обнаружил подозрительный файл boxsmall.php в папке /engine/

Содержимое закодировано, по дате изменения он от 03.16 (по wincsp ), но в бекапе от 12.16 его нет, а антивирус показывал примерную дату 02.17 года.

Возможно ли определить, что делает данный файл? а так же, возможно, какой лог можно посмотреть на вопрос запросов к этому файлу от файлов скрипта или загруженных файлов.

Файл: https://cloud.mail.ru/public/BAUb/ajpt85SPG

 Шелл это. Может выполнить любые действия на сервере. Дата изменения это не дата его заливки. Кто ж вам в через полгода скажет о причинах появления. В логах вы этого уже по прошествии времени не найдете. На папку /engine/ прав на запись со стороны скриптов быть не должно. Может быть уязвимости на сервере, может быть неверно выставленные права доступа и его перенесли с другого места, может быть "занесли" со сторонними модулями и т.д. Теперь уж гадать можно бесконечно. Обнаруживать нужно в момент появления. Для этого в антивирусе есть возможность создания снимка файлов, а антивирус можно поставить на крон и он будет автоматически на e-mail уведомлять если что то изменилось. А через такой промежуток времени, причин вы уже не найдете.

16 часов назад, south_park сказал:

PS, так же после использования антивируса в дле, заметил целую кучу файлов оставшихся от предыдущих версий скрипта, было бы неплохо в инструкции по обновлению давать список таких файлов которые нужно ручками подчистить.

Так для этого антиивирус и существует, запуск его после обновления укажет на все что устарело и уже больше не нужно.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...