8791 sujets

Développement web côté serveur, CMS

Script inconnu et eval(base64_encode(KEY)))

Bonjour à tous,

Aujourd'hui, comme à mon habitude je surveille ce qu'il se passe sur mes serveurs ; surtout un parce qu'il est sous Windows et Plesk... Et hier, deux nouveau fichier sont apparu ; dont un contenant : 

<?php eval("?>".base64_decode("PD9waHAN.....Pg==")); ?>


Bien entendu j'ai déjà supprimé ce script du serveur mais je me demandais quel était son but et son impact ?

Merci à tous pour vos réponses.
Hello,

Je suis une quiche de première concernant PHP, aussi, que les puristes me pardonnent si je dis une énorme bêtise, ne serait-ce pas une tentative de hack ?
Les recherches effectuées sur ces termes me retournent souvent ce risque :
Eval, Base64 et PHP – les risques de hack
Cleaning eval(base64_decode()) from a Hacked WordPress Website via SSH
(j'ai pu lire bon nombre de méthode visant à empêcher ce type d'agression)

Si cela rien à voir, mille excuses Smiley cligne
Le but est très probablement d'envoyer un contenu infecté au visiteur.

On peut voir que le code exécuté commence par ?>, on sort du mode php et donc le contenu qui suit vise le visiteur, pas le serveur.

Pour éviter que le virus soit détecté au moment où il est envoyé sur le serveur par un anti-virus qui se trouverait sur le serveur lui-même ou quelque part entre deux sur le réseau (proxy, vérificateurs d'upload et autres), il est encodé en base64. C'est simple, mais efficace...

Je pense qu'eval est utilisé pour éviter echo/print, pour les mêmes raisons

A noter que ça n'a rien à voir avec le poste du visiteur qui lui, recevra le virus en clair ...

Pour en savoir plus, tu peux essayer de décoder la chaîne base64 et la faire analyser par un anti-virus. Attention à ne pas t'infecter toi-même...
Modifié par QuentinC (10 Apr 2014 - 14:28)
Merci pour vos réponses ; en effet je pensais bien que cela n'était une chose sympathique mais je ne comprenais pas comment il l'utilisait ; je vais pas tenter d'en savoir plus ; je sais que cela héberge un trojan mais pas vraiment moyen de pister qui à poser ce truc chez moi Smiley decu .

J'ai eu également une autre attaque avec un fichier en aspx ; mais qui à l'inverse enregistrer toutes les données utilisateurs ; si je ne me suis pas tromper dans sa lecture.

Ce que je ne comprend pas c'est comment l'auteur a déposé ce fichier oO ; une faille certainement entre le serveur installé en Windows et la couche Plesk installé par dessus... On a envoyé des emails et des tickets à notre fournisseur mais sans réponse...

A votre avis quels sont nos droits et nos recours ???
Sujet clos
Aller à