[Ask] Script File Mencurigakan

[xpreborn]

Selamat siang semuanya,
Om saya izin bertanya lagi yach,
Beberapa hari terakhir saya selalu dapat peringatan dari hoster yg saya gunakan jika akun saya nyepam, sehingga folder web saya mereka rename (agar tdk aktif)
lalu saya lihat2 isi web saya dan menemukan file ini --pastebin url --- di dalam akun hosting saya,
Saya pernah hapus lalu kembali lagi, letaknya bukan di dalam folder web saya tp sejajar dgn folder public_html,
Kemarin pernah minta ke hoster hapus akun saya lalu created ulang, kemudian saya upload web backup sekitar 1 bulan sebelum kejadian, beberapa hari kemudian dpt warning lg dari hoster dan dicek file itu ada lagi,
Saya menggunakan CMS Joomla versi 3.3
Ada saran Om solusi yg bs saya lakukan ?

 

[Galaxy Hosting]

lalu saya lihat2 isi web saya dan menemukan file ini --pastebinurl--di dalam akun hosting saya,

Contoh jika nama filenya adalah 'aku.php', maka coba diakses http://domain,com/aku.php?action=t3497n

nampaknya disitu harus memasukkan password apabila ingin mengaksesnya '$auth_pass="";'

yang saya beri warna merah, disesuaikan saja dengan form postnya, karena beda-beda.

 

[jaapns]

yg paling rentan itu modul2 dan plugin joomlnya , coba googling dulu sapa tau ada salah satu plugin sudah zero day

 

[cyberhostservice]

Seperti TS yang dulu yah mengenai virus ???

 

[xpreborn]

Terimakasih banyak Om atas masukanya,
Solusi sementara yg saya lakukan, update versi CMS nya ke 3.4.8 (versi terbaru), uninstall plugin/module yg ga pakai, minta hoster untuk disabled php mailnya karena masih aktif kayaknya (lagi tunggu responnya),

Btw, cara baca file itu gmn yach om ?

 

[Mylo Sepz]

Udah saya decode dan saya liat. itu isinya ngambil file penting di server. seperti user data dari /etc/passwd lalu ngambil database dll pokoknya script ini saya kategorikan lumayan lengkap kalo untuk script hacking

 

[Mylo Sepz]

Btw, cara baca file itu gmn yach om ?

http://web.tld/file.php?t3497n

 

[Galaxy Hosting]

Btw, cara baca file itu gmn yach om ?

ini file aslinya : --pastebin url--

lihat Line nomor 116 - 121
<br><h1>Search for hash:</h1><div class=content>
<form method='post' target='_blank' name='hf'>
<input type='text' name='hash' style='width:200px;'><br>
<input type='hidden' name='act' value='find'/>
<input type='button' value='hashcracking.ru' onclick=\"document.hf.action='https://hashcracking.ru/index.php';document.hf.submit()\"><br>
<input type='button' value='md5.rednoize.com' onclick=\"document.hf.action='http://md5.rednoize.com/?q='+document.hf.hash.value+'&s=md5';document.hf.submit()\"><br>
<input type='button' value='crackfor.me' onclick=\"document.hf.action='http://crackfor.me/index.php';document.hf.submit()\"><br>

Saya cuma bisa membantu mengartikan dan bukan mengajarkan
Cari sendiri yang lainnya, karena pusing saya liatnya (banyak)

 

[Mylo Sepz]

Nih SSnya lihat url yang saya buka kalo mau lihat aslinya

 

[Galaxy Hosting]

Nih SSnya lihat url yang saya buka kalo mau lihat aslinya

Shell ya ternyata?