Es ist ein Skript zum Hochladen weiterer Dateien auf den Server.
Der Code kam mir bekannt vor, daher habe ich eine der darin enthaltenen Zeichenfolgen gegoogelt: Es handelt sich um eine modifizierte Version des Beispiel-Upload-Codes für PHP-Dateien von dieser Seite . Im Gegensatz zum Beispielcode setzt die geänderte Version die $uploaddir
Variable jedoch auf dasselbe Verzeichnis, aus dem sie ausgeführt wird, sodass jeder, der sie verwendet, mehr Dateien in dasselbe Verzeichnis hochladen kann (und das Skript sogar mit etwas anderem überschreiben kann, wenn er möchte).
Seltsamerweise scheint das Skript das Hochladen von Dateien in andere Verzeichnisse als das, in dem es sich befindet, nicht zuzulassen. Wenn es einem Angreifer jedoch gelingt, dieses Skript auf Ihre Site hochzuladen und auszuführen, bedeutet dies, dass sie vermutlich ausgeführt werden können Alle anderen Skripte, die sie damit hochladen.
Ob (und wie viel) Sie sich Sorgen machen sollten, hängt davon ab, ob der Angreifer es tatsächlich geschafft hat, das Skript auszuführen. Die bloße Tatsache, dass es hochgeladen wurde, bedeutet nicht unbedingt, dass der Angriff erfolgreich war, wenn Dateiberechtigungen oder die Webserverkonfiguration den Server daran gehindert haben, ihn als PHP-Code auszuführen. Das Vorhandensein des Skripts auf Ihrem Server bedeutet jedoch zumindest, dass jemand versucht hat , sich in das Skript zu hacken.
Auf allen meinen WordPress-Sites verwende ich ein Plugin namens WordPress File Monitor http://wordpress.org/extend/plugins/wordpress-file-monitor/, das mir eine E-Mail sendet, wenn Dateien auf dem Server geändert wurden.
Ich halte Plugins und Kern-Apps auf dem neuesten Stand, suche nach Schwachstellen und verwende das Dateiüberwachungs-Plugin nur für den Fall eines XSS-Angriffs. Normalerweise ist es ein Plugin, das eine gewisse Sicherheitslücke aufweist.
Wenn auf Ihrer Website WordPress ausgeführt wird, würde ich empfehlen, das Plugin zu verwenden, um eine E-Mail zu erhalten, sobald Dateien zu Ihrem Server hinzugefügt oder geändert werden.
Wenn Sie WordPress nicht ausführen, bitten Sie Ihre Entwickler, PHPIDS https://phpids.org/ zu implementieren.
quelle