Здравствуйте, форумчане. Случилась проблема. Купили виртуальный сервер на reg.ru, с предустановленным LEMP. Директория сайта /var/www/html пользователь и группа sites:sites, nginx и php-fpm работают тоже от имени пользователя sites. Есть несколько сайтов на php. Несколько раз в неделю в папке /tmp создаются директории с рандомными названиями zzffrtt, zzffrtt2, zzffrtt3 владелец и группа sites:sites.
ls -lh /tmp
drwxrwxrwx 2 sites sites 4.0K Nov 15 19:27 zzffrtt
drwxrwxrwx 2 sites sites 4.0K Nov 15 19:28 zzffrtt2
drwxrwxrwx 2 sites sites 4.0K Nov 15 1
В этих директориях лежит одноимённый файл zzffrtt размер около 2Мбайт. В процессах появляются одноимённые процессы zzffrtt, zzffrtt2, zzffrtt3. Скорее всего это какой-нибудь спам-бот и проникает он через php-fpm, так как только в его настройках указан параметры:
env[TMP] = /tmp
env[TMPDIR] = /tmp
env[TEMP] = /tmp
Собственно, помогите устранить эти вторжения. Как можно определить как именно произошла инъекция, как настроить логирование для поиска источника. В самих логах nginx нет ничего информативного, ведь должен быть какой-то get или post запрос, а если сопоставить время появления вирусов в папке /tmp и логи nginix, то никаких записей там нет. Версия php-fpm - 7.2.24-0, версия nginx/1.14.0. Читал про уязвимость CVE-2019-11043 которая срабатывает при классической настройки виртуального хоста для обработки php запросов:
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
try_files $fastcgi_script_name =404;
fastcgi_pass unix:/run/php/php7.2-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
