Phpfeed

From Church of Illuminati

Jump to: navigation, search

Phpfeed är ett virus som infekterar webbplatser. Symptom är phpfiler av storleken 1468 bytes i så gott som alla mappar. Filnamnen är fyra till sex slumpmässiga siffror med filändelse, ex 19451.php. Koden är delvis obfuskerad, och kommer att skickar förfrågningar till webbplatserna http://ads.phpfeed.ru och http://71.phpfeed.ru vid körning.

Contents

Symptom

The file "typo3conf/l10n/se/context_help/se.locallang_csh_ttcontent.xml" is no TYPO3 language file!

Viruset har försökt infektera en xml-fil, filen är ofarlig, men har korrupt xml-header.

Botemedel

Kör följande kod i ssh: 

find . -name "*.php" -size 1468c -exec rm -f {} \;

Om du inte har behörighet för att filerna ägs av exempelvis nobody, skapa då en php-fil med följande innehåll 

<?php print `find . -name "*.php" -size 1468c -exec rm -f {} \;` ?>

XML infektion

Viruset kan även försöka infektera xml-filer, vilket inte gör dom smittbara, men förstör xml-strukturen. "hecfzzazbzbezcedf" verkar ingå i infekterade filer, använd följande kommando för att spåra infekterade filer. 

find . -name "*.xml" -exec grep "hecfzzazbzbezcedf" '{}' \; -print

Alias

Tidigare utbrott av viruset har använt andra domännamn, ex

Retrieved from "http://www.churchofilluminati.com/Phpfeed"
Personal tools