有些东西正在将 php 文件重命名为 .php.suspected；我想找出什么

Question 1

使用文件更改审核机制，例如记录文件系统或者 Linux 的审计子系统。也可以看看如何确定哪个进程正在创建文件？,记录每个 SUID 程序的每次调用？,用 Auditd 打败笨蛋 01...

假设服务器运行 Linux，审计系统看起来是最好的解决方案。记录相关目录树中的所有文件重命名操作，例如/var/www：

auditctl -a exit,always -S rename -F dir=/var/www

审核日志通常位于/var/log/audit/audit.log.以下是cd /var/www; mv foo bar上述规则的示例日志：

type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669):  cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE

Answer

使用文件更改审核机制，例如记录文件系统或者 Linux 的审计子系统。也可以看看如何确定哪个进程正在创建文件？,记录每个 SUID 程序的每次调用？,用 Auditd 打败笨蛋 01...

假设服务器运行 Linux，审计系统看起来是最好的解决方案。记录相关目录树中的所有文件重命名操作，例如/var/www：

auditctl -a exit,always -S rename -F dir=/var/www

审核日志通常位于/var/log/audit/audit.log.以下是cd /var/www; mv foo bar上述规则的示例日志：

type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669):  cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE

Question 2

我知道这个问题是不久前提出的，但.php文件重命名的情况.php.suspected今天不断发生。以下命令不应产生任何结果：

find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print

在我见过的情况下，可以使用以下命令找到受感染的文件：

cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'

我已经准备了对我所看到的问题以及如何处理它的更长的描述，网址为GitHub。我怀疑该恶意软件的许多变种过去已经出现过。它们感染网站的方式取决于所使用的 CMS 以及攻击时可用的漏洞。在这种情况下，最有可能的是杜巴吉登2。

Answer

我知道这个问题是不久前提出的，但.php文件重命名的情况.php.suspected今天不断发生。以下命令不应产生任何结果：

find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print

在我见过的情况下，可以使用以下命令找到受感染的文件：

cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'

我已经准备了对我所看到的问题以及如何处理它的更长的描述，网址为GitHub。我怀疑该恶意软件的许多变种过去已经出现过。它们感染网站的方式取决于所使用的 CMS 以及攻击时可用的漏洞。在这种情况下，最有可能的是杜巴吉登2。

有些东西正在将 php 文件重命名为 .php.suspected；我想找出什么

答案1

答案2

相关内容