PHP shell sospetta all'interno del ns sito

[caicomelico]

Ciao, ho trovato 2 files all'interno del ns sito quantomeno sospetti dal momento che costruiscono una PHP shell con funzioni di eseguire i comandi attraverso un form.

Il sito è http://caicomelico.altervista.org costruito con MDPro quindi con un CMS appoggiato su database MYSql e PHP.
Aggiornando il sito ho notato che qualcuno ha inserito 2 files all'interno di una dir del sito praticamente identici dai nomi: dark.php e inc.php, firmati evilsecurity e mirrorteam

Esamniandoli ho capito che si tratta di una pagina che, se chiamata, costruisce un form attraverso cui è possibile sia ricercare la root che dare comandi via shell.

Ho letto che lo stesso script è stato usato per generare una valanga di email dal sito.

Per ora li ho semplicemente cancellati, non so però nè se abbiano potuto fare danni nè se qualcun altro come me li conserva nel sito a sua insaputa.

CIao

PS sono disponibile ad postare il codice se foste interessati.

[Evcz]

l'importante è capire come è entrata quella roba... altrimenti anche se li togli il giorno dopo "rientrano" dalla finestra :/

[caicomelico]

hai ragione, ma come posso fare a scoprirlo?
immagino che mi abbiano trovato la password o uno spiraglio nel server o un bug del sistema CMS

ciò che ho fatto è stato cancellare i files e cambiare la password
altri suggerimenti o possibilità?

[Evcz]

lo spiraglio sul server lo scarterei..

per la password: cambiala e assicurati che nessun altro abbia accello alla tua casella email...

anche se io sarei propenso a pensare si tratti di un baco del cms...

[Gianluca]

Se sono ancora online puoi mandare il link all'abuse o il contenuto dei medesimi per conoscenza.