有关的:
https://serverfault.com/questions/748417/something-renames-files-to-filename-ext-suspected
https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected
我有一位拥有运行 Linux 的虚拟主机服务器的客户,他也遇到了这个问题。这是不是一个 Wordpress 站点,尽管他确实在同一台服务器上运行 Wordpress 站点。
我们都意识到这个问题,并且其中一些文件确实包含恶意软件内容 - 然而,也存在一些误报,它们正在影响网站的功能(通过使包含文件不可读),所以他要求我跟踪找出已安装软件的哪个部分正在执行此操作并阻止它。
问题是,我不能 100% 确定什么导致重命名以及原因。我怀疑clamav/amavis,因为它在他们的职权范围内,但cron
我并没有真正想到可能导致每周扫描的原因......
答案1
使用文件更改审核机制,例如记录文件系统或者 Linux 的审计子系统。也可以看看如何确定哪个进程正在创建文件?,记录每个 SUID 程序的每次调用?,用 Auditd 打败笨蛋 01...
假设服务器运行 Linux,审计系统看起来是最好的解决方案。记录相关目录树中的所有文件重命名操作,例如/var/www
:
auditctl -a exit,always -S rename -F dir=/var/www
审核日志通常位于/var/log/audit/audit.log
.以下是cd /var/www; mv foo bar
上述规则的示例日志:
type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669): cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE
答案2
我知道这个问题是不久前提出的,但.php
文件重命名的情况.php.suspected
今天不断发生。以下命令不应产生任何结果:
find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print
在我见过的情况下,可以使用以下命令找到受感染的文件:
cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'
我已经准备了对我所看到的问题以及如何处理它的更长的描述,网址为GitHub。我怀疑该恶意软件的许多变种过去已经出现过。它们感染网站的方式取决于所使用的 CMS 以及攻击时可用的漏洞。在这种情况下,最有可能的是杜巴吉登2。