Phpfeed.ru – rssnews.ws-viruset har muterat

InfluensaPhpfeed är ett virus som infekterar webbplatser. Symptom är phpfiler av storleken 1468 bytes i så gott som alla mappar. Filnamnen är fyra till sex slumpmässiga siffror med filändelse, ex 19451.php. Koden är delvis obfuskerad, och kommer att skicka förfrågningar till webbplatserna http://ads.phpfeed.ru och http://71.phpfeed.ru vid körning.

Symptom

The file ”typo3conf/l10n/se/context_help/se.locallang_csh_ttcontent.xml” is no TYPO3 language file!
Viruset har försökt infektera en xml-fil, filen är ofarlig, men har korrupt xml-header.

BotemedelBotemedel

Kör följande kod i ssh:

find . -name "*.php" -size 1468c -exec rm -f {} ;

Om du inte har behörighet för att filerna ägs av exempelvis nobody, skapa då en php-fil med följande innehåll

<?php print `find . -name "*.php" -size 1468c -exec rm -f {} ;` ?>

XML infektion

Viruset kan även försöka infektera xml-filer, vilket inte gör dom smittbara, men förstör xml-strukturen. ”hecfzzazbzbezcedf” verkar ingå i infekterade filer, använd följande kommando för att spåra infekterade filer.

find . -name "*.xml" -exec grep "hecfzzazbzbezcedf" '{}' ; -print

Alias

Tidigare utbrott av viruset har använt andra domännamn, ex

Publicerat av Lukas Mattsson

Yogi and developer

Delta i diskussionen

1 kommentar

E-postadressen publiceras inte. Obligatoriska fält är märkta *