Abbiamo alcuni siti che ospitano su un server condiviso di Media Temple (MT). Questa mattina, abbiamo notato che alcuni dei nostri siti web erano in calo. Dopo un'indagine, ci siamo resi conto che erano stati compromessi. La struttura delle directory per MT è la seguente: domini > DOMAIN-NAME > html (aka root del sito Web).
A livello di NOME DOMINIO, abbiamo notato un file denominato Meuhy.php . Il supporto di MT ha detto che sembrava una specie di gestore di pacchetti maligni. Ho fatto una ricerca su Google per quel file, ma non ho trovato nulla che aiutasse a identificare la sua fonte. Tuttavia, ho notato che è stato iniettato su altri siti web: link
Alla web root, abbiamo scoperto che il codice di WordPress era stato iniettato nei file index.php , tuttavia, tutti i nostri siti tranne uno sono siti Drupal. Abbiamo anche scoperto che sono stati generati una serie di file .xml. Contenevano ciò che sembrava essere una serie di chiamate al server. Abbiamo controllato l'utilizzo della GPU e abbiamo notato che il problema è che questi file sono stati generati. Il nostro Google Analytics mostra anche che il traffico è aumentato in modo anomalo durante questo periodo.
La mia domanda principale è, qualcuno sa che tipo di attacco è questo, e dovremmo preoccuparci che i nostri database possano essere compromessi?