Quindi ho combattuto questo problema da mesi e ho deciso che è oltre le mie limitate (se non del tutto) capacità del server, e che ho bisogno dell'aiuto dei professionisti.
Ho un VPS (con accesso root) che ospita diversi siti Web PHP, alcuni dei quali basati su WordPress. Alcuni dei siti sono stati infettati dal malware a seguito di la vulnerabilità MailPoet . Ho pulito i siti infetti, completamente rimosso MailPoet, account backdoor e materiale correlato, ma il malware continua a resuscitare una volta ogni tanto. Di seguito è riportato ciò che posso descrivere al riguardo:
- Ci sono due firme di malware (mi dispiace se sto usando il termine sbagliato), entrambe sono iniettate nella parte più alta delle pagine PHP. Una volta che appare come questo
<?php $ozufdqjmhx = '7825h!>!%x5c%x7825tdz)%x5c%x7825bbT-%x5c%x782vg}...
con la variabile$ozufdqjmhx
cambia di volta in volta, l'altro inizia con<?php if(!isset($GLOBALS[\'\a\e
if (preg_match('/^<\?php \$[a-z]{10} = \'/', $fh_str)) {
... etc etc - Il malware torna a intervalli casuali . A volte torna un giorno dopo la pulizia, a volte una settimana o alcune settimane.
- Solo i file / directory / siti Web precedentemente infetti vengono nuovamente infettati . Le nuove directory, o vecchie e non modificate, sono sempre pulite. Nuovi file nelle vecchie directory infette però vengono infettati.
- maldet (utilizzando ClamAV credo) non è in grado di rilevare alcun malware. Rilevatore di shell PHP può, ma non può essere risolto a causa del solo rilevatore.
Potete aiutare o dare una direzione alla quale dovrei andare? Un milione di ringraziamenti in anticipo!
(Inoltre, mi dispiace se questa domanda non si adatta ai regolamenti del sito. Quando sono un utente giornaliero di StackOverflow, questa è la mia prima volta su questo sito secondario di sicurezza).
EDIT: Apprezzo molto qualsiasi raccomandazione da voi ragazzi, ma pulire il sever e ricominciare da zero non è un'opzione. Se lo fosse, perché dovrei fare questa domanda per cominciare, giusto? :)
EDIT 2: dopo la risposta di @ Mints97, ho controllato tutte le porte aperte - sembra normale:
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
3000/tcp open ppp
3306/tcp open mysql
5432/tcp open postgresql
8000/tcp open http-alt
8080/tcp open http-proxy
8082/tcp open blackice-alerts
10000/tcp open snet-sensor-mgmt
20000/tcp open dnp
MODIFICA 3: Questo è per @QuestionOverflow: quando cerchi i 4 domini che hai menzionato in tua altra risposta , Mi sono imbattuto in uno script per eliminare il malware qui . Nel codice possiamo vedere hosts
, che identifica ESATTAMENTE la prima firma. Direi che ora è lo stesso malware, o almeno dallo stesso ragazzo, attraverso la stessa vulnerabilità. Piuttosto interessante.
EDIT 4: il secondo malware è già stato discusso qui se può essere d'aiuto e sì, apparentemente entrambi recuperano un po 'di payload a caso da 4 domini: "33db9538.com", "9507c4e8.com", "e5b57288.com", "54dfa1cb.com". Ho aggiunto tutti e 4 i miei file 127.0.0.1
, puntando a %code% . Vediamo cosa succederà.
EDIT 5: Molti suggeriscono che questa domanda abbia già avuto risposta qui a Come spieghi la necessità di" nuke dall'orbita "alla gestione e agli utenti? . Onestamente non riesco a vedere come risponde l'altra domanda. Sto chiedendo come eliminare un malware, non per spiegare al mio capo perché dovrei reinstallare un server.