Récemment, mon site Web basé sur php a été infecté par des logiciels malveillants (probablement par un mot de passe ftp volé).
En gros, toutes les 30 minutes, un fichier frame_cleaner_php.php a été téléchargé, un HTTP-GET a été effectué dessus pour l'exécuter et il a été supprimé. J'ai pu intercepter une copie du fichier et l'analyser.
Il n'était en aucun cas obscurci et était assez facile à lire.
Essentiellement, il analysait récursivement tous les fichiers php, cherchait 20 signatures d'infections par autres malwares courants (comme <? Php eval (base64_decode ("
ou <? PHP # Web Shell by oRb
) et grossièrement supprimé les lignes avec cette infection.
En raison d'un faux positif, certaines lignes de mes propres fichiers php ont été supprimées, ce qui a causé la fermeture du site. C'était probablement juste un effet secondaire involontaire du malware.
La grande question: pourquoi un logiciel malveillant ferait-il cela, qu'est-ce qu'il y a à gagner?