Segurança - arquivos 'surgem'
Boa noite. O caso é o seguinte: tenho alguns sites que desenvolvi em PHP, nenhum deles permite upload de algum tipo de arquivo pro servidor. Acontece que eu estava dando uma olhada nos meus arquivos no SFTP, quando começo a me deparar com arquivos PHP que eu não me lembrava de ter uploadeado ou programado.
Achei uns 6 ou 8 arquivos estranhos, dentre eles um arquivo "ini.php" que estava vazio, mais um outro que não lembro o nome vazio também, um chamado "pr.php" (autoria de um tal de bogel) e outro chamado "shell.php" totalmente criptografados (2 comandos php e muitas letras aleatórias) e mais um chamado "icq.php" (autoria de dois tais de icqbomber e c0d3d), este não criptografado. Tinha achado também um "_ajax_func.php" que contém conteúdo não criptografado mas muito curto e um arquivo "sexo.php"... sim, "sexo.php" :ermm: , que estava vazio.
Fiquei curioso e resolvi abrir os arquivos não vazios, eis que vem a baita surpresa. Dois deles ("pr.php" e "shell.php") pediam senhas para autorização, eu simplesmente os deletei. O "icq.php" eu abri e caiu direto num painel de controle do meu próprio FTP, com comandos em alemão e inglês que permitiam o download dos meus arquivos, a remoção deles e outras diversas funções. Minha página estava hospedando um arquivo que nem eu sabia que existia, que eu jamais coloquei no meu site e que permitia qualquer um ter controle total sobre meu conteúdo!
Algo ainda mais estranho é que eu tinha feito backup há 3 dias e os arquivos "icq.php" e "pr.php" não estão no meu computador. Não sei se nesse intervalo de tempo eles se instalaram no meu site ou se algo aconteceu.
Mas estou com o "_ajax_func.php" e com o "shell.php" aqui, caso alguém queira analisar por curiosidade ou qualquer outro motivo, é só pedir.
Peço ajuda aos especialistas: estes arquivos vieram de onde? Pode ter sido do meu próprio computador? Pode ser falhas na segurança do meu site, mesmo que eu não permita upload de arquivo algum nele? O que fazer pra evitar que volte a acontecer?
Muito obrigado,
Renato.
Discussão (3)
Carregando comentários...