Уделяйте пристальное внимание безопасности ваших сайтов! Backdoor.PHP.C99Shell

[VST]

Проверка сайта в Поиске
c99shell+insite:вашсайт.ru+filetype: php

filetype: без пробела php

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является PHP скриптом. Имеет размер 229051 байт.
Инсталляция

Данный бэкдор устанавливается злоумышленником на веб-сервер либо посредством загрузки по FTP, используя похищенные ранее логин/пароль для администрирования сайта, либо используя различные уязвимости на сайте, которые позволяют загрузить произвольный файл в папку, где находятся скрипты сайта. После этого на сайте появляется скрытая страница, открыв которую злоумышленник запустит бэкдор и сможет воспользоваться его функциями.

Деструктивная активность

Данный бэкдор предназначен для удаленного несанкционированного управления web-серверами.
Бэкдор позволяет выполнять на удаленном сервере следующие действия:

Получать полный доступ к файлам на жестком диске;
Подсчитывать различные хеши для строк;
Запускать командный интерпретатор и связывать его стандартный ввод/вывод с указанным TCP портом;
Связывать стандартный ввод/вывод командного интерпретатора с данными от IRC сервера (datapipe);
Просматривать список запущенных на сервере процессов;
Выполнять произвольный PHP код;
Скачивать/Загружать файлы на сервер;
Осуществлять поиск файлов на жестком диске сервера с указанным содержимым;
Управлять базой данных mysql (просмотр/создание/редактирование БД/таблиц);
Выполнять команды shell;
Сканировать учетные записи FTP сервера на "слабые" пароли (например, пароль такой же как и имя учетной записи пользователя);
Уничтожать свою копию на жестком диске сервера по требованию;
Создавать пользователя без пароля;
Просматривать активных пользователей в системе;
Удалять записи о своей активности из протоколов веб сервера Apache;
Использовать различные уязвимости ядра ОС Linux и командного интерпретатора bash;
Поддерживает работу через прокси-сервер

скрывая адрес злоумышленника.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Провести аудит безопасности хоста.
Произвести полную проверку компьютера Антивирусом.

[kizaika]

А если на сайте была обнаружена эта программа и после этого вылетели некоторые функции, как их восстановить?

[newshop]

c99shell стар как мир было на шоп скрипте всё откатывали меняли пароли переустанавливали операционки появлялось снова как победили так и не поняли

[DiShop]

Cменить пароли на хостинг, доступы фтп, поменять имя пользователь, пароль базы, старую базу грохнуть (предварительно экспорт товаров), установить из дистр заново изменить права доступа на: корневую папку, все индексные файлы, на все файлы /published/publicdata/ без права записи
ида, еще нормальный хостинг и Проверить все компы с которых был вход по ftp.
вот как то так. (и иметь нормальный бекап)