@ mas xpreborn iya mas sudah ada di entry database virus nya mas berarti jika 403 forbidden
jadi ketika file itu di coba upload dari sistem akan auto scan dengan correct value hex dalam file tersebut dengan melakukan filterisasi ke memory map hitungan ms
jadi misal file tersebut andai coba di rename ke file lain atau di modify dalam file aslinya baik penambahan char atau pengurangan variable sistem masih dapat mengenali sampai sekitar 50% modify char files
jika dia keterangannya file uploaded success berarti belum masuk ke db listnya
sample log nya seperti ini :
[02/Mar/2016:04:01:06 +0700] VtYDEsYYjy0AAGS4I@UAAAAD 104.156.228.142 39879 x.x.x.x 8088
--84387f33-B--
POST /wp-content/plugins/reflex-gallery/admin/scripts/FileUploader/php.php?Year=2016&Month=02 HTTP/1.1
Host: xxx.com
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0
Content-Type: multipart/form-data; boundary=e07d3a173b7e46af9a9ae0a22133d306
Cache-Control: max-age=259200
Content-Length: 502
X-Forwarded-For: 104.156.228.142
connection: close
X-Varnish: 775993947
--84387f33-I--
action=upload%5fad%5fimage&path=
--84387f33-F--
HTTP/1.1 403 Forbidden
Content-Length: 389
Connection: close
Content-Type: text/html; charset=iso-8859-1
--84387f33-H--
Message: Access denied with code 403 (phase 2). Malware_detect_input_1_DEM.php5 (100)
Ini path bug script yg dipakai buat injeksi ke server melalui plugin user
POST /wp-content/plugins/reflex-gallery/admin/scripts/FileUploader/php.php?Year=2016&
dan ini metode yg dipakai buat eksekusi filenya
action=upload%5fad%5fimage&path=
Malware_detect_input_1_DEM.php5 (100)
ini jenis tipe virus / malware yg terdetect dari databse