PHPファイル名を.php.suspectedに変更しています。何か知りたいです。

PHPファイル名を.php.suspectedに変更しています。何か知りたいです。

関連:

Linuxを実行しているWebホスティングサーバーを持つ顧客がいますが、その顧客もこの問題に直面しました。これはいいえWordPressサイト。しかし、彼は同じサーバー上でWordPressサイトを運営しています。

私たちは皆、この問題を知っていて、これらのファイルの中にはマルウェアのコンテンツが含まれていました。しかし、埋め込まれたファイルを読み取ることができず、Webサイトの機能に影響を与えるいくつかの誤解もあったので、彼は私に追跡を求めました。インストールされているソフトウェアのどの部分がこれを実行し、それをブロックするかです。

問題は100%確信できないということです。名前が変更された理由と理由。私疑うclamav / amavisは彼らの使命に属していますが、cron毎週スキャンの原因が何であるかはまったく考えませんでした...

答え1

ファイル変更監査メカニズムを使用してください。ロギングファイルシステムまたはLinux監査サブシステム。また、見ることができますどのプロセスがファイルを生成するかを確認する方法は?すべてのSUIDプログラムへのすべての呼び出しを記録しますか?AuditdでIdiot01を倒す...

サーバーがLinuxを実行していると仮定すると、監査システムは最良の解決策のように見えます。関連ディレクトリツリーにすべてのファイル名の変更操作を記録します。例/var/www:

auditctl -a exit,always -S rename -F dir=/var/www

監査ログは通常にあります/var/log/audit/audit.log。以下は、上記のルールcd /var/www; mv foo barのサンプルログです。

type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669):  cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE

答え2

私はこの質問がしばらく前に要求されたことを知っていますが、.phpファイル名の変更は.php.suspected今日も引き続き発生します。次のコマンドは結果を生成しません。

find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print

私が見た場合は、以下を使用して感染したファイルを見つけることができます。

cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'

私はこの問題とそれをどのように処理するかについての詳細な説明を用意しました。GitHub。私はこのマルウェアの亜種が過去にも多く現れたと疑っています。 Webサイトに感染する方法は、使用されているCMSと攻撃時に利用可能な脆弱性によって異なります。この場合、おそらくドバイデン2

関連情報