Come fermare un ciclo infinito (dannoso)

Naviga le tue risposte
1

Qualche giorno fa qualcuno ha cercato di rompere il mio sito usando un attacco Remote File Inclusion.
L'attacco è stato bloccato dal mio Web Application Firewall, ma ero curioso del file.
Quindi l'ho scaricato iniziando a esaminarlo.

Prima di tutto, il file si cancella:
unlink($_SERVER['SCRIPT_FILENAME'])

Quindi inizia e il ciclo infinito attende gli ordini da una chat irc: 

do{
   //awaiting orders and executing them
}while(1)

Mi stavo chiedendo: se mai mi fossi infettato da qualcosa del genere:

  1. Come posso rilevare l'infezione? Devo fare affidamento sul mio sistema di sicurezza di hosting?
  2. Come posso smetterlo? È un ciclo infinito caricato in memoria, dovrei chiedere al mio hosting di riavviare il servizio o interrompere il processo php?
posta tampe125 02.04.2013 - 10:47
fonte

2 risposte

2

Essere compromessi non è mai una bella sensazione. Quel ciclo infinito è un processo. ogni processo ha un ID di processo. Se non si dispone dell'accesso ssh (e presumo che non lo sia), provare a trovare l'id del processo tramite lo script PHP: 

php system("ps aux");

Individua il nome del file ad esempio php endless_loop.php che si trova nell'ultima colonna dell'elenco restituito. Nella seconda colonna trovi l'id del processo. Quando hai l'id di processo tutto quello che devi fare è eseguire un altro script: 

php system("kill proccess_id");
    
risposta data 02.04.2013 - 12:37
fonte
0

  1. Poiché i trojan cercano di connettersi al server IRC esterno, effettuano la connessione al server esterno. Netstat ti aiuterebbe per identificare connessioni sospette. Inoltre, il trojan cerca di apparire simile al processo di sistema, chkrootkit sarebbe più utile invece di usare ps .

  2. Se hai trovato il trojan, puoi seguire il consiglio di HEX per uccidere un processo. Essere consigliare un'installazione completa sarebbe più appropriato per un sistema compromesso.

risposta data 02.04.2013 - 12:46
fonte

Leggi altre domande sui tag

Conformità PCI relativa alle "altre" password Metodo di installazione remota semplice e sicuro che accetta l'input tramite una pagina Web?