Phpfeed är ett virus som infekterar webbplatser. Symptom är phpfiler av storleken 1468 bytes i så gott som alla mappar. Filnamnen är fyra till sex slumpmässiga siffror med filändelse, ex 19451.php. Koden är delvis obfuskerad, och kommer att skicka förfrågningar till webbplatserna http://ads.phpfeed.ru och http://71.phpfeed.ru vid körning.
Symptom
The file ”typo3conf/l10n/se/context_help/se.locallang_csh_ttcontent.xml” is no TYPO3 language file!
Viruset har försökt infektera en xml-fil, filen är ofarlig, men har korrupt xml-header.
Botemedel
Kör följande kod i ssh:
find . -name "*.php" -size 1468c -exec rm -f {} ;
Om du inte har behörighet för att filerna ägs av exempelvis nobody, skapa då en php-fil med följande innehåll
<?php print `find . -name "*.php" -size 1468c -exec rm -f {} ;` ?>
XML infektion
Viruset kan även försöka infektera xml-filer, vilket inte gör dom smittbara, men förstör xml-strukturen. ”hecfzzazbzbezcedf” verkar ingå i infekterade filer, använd följande kommando för att spåra infekterade filer.
find . -name "*.xml" -exec grep "hecfzzazbzbezcedf" '{}' ; -print
Alias
Tidigare utbrott av viruset har använt andra domännamn, ex
- www3.rssnews.ws
- http://hecfzzazbzbezcedf.users.phpinclude.ru/
Flera fall av kommentarsspam från IP 83.233.30.32