Alguns dias atrás meu site foi invadido e um arquivo malicioso chamado images.pl foi carregado, o que cria um backdoor que permite que o autor do arquivo faça upload / download / faça o que quiser. Mais tarde descobri que contém PHP.C99-7 .
Eu notei esse arquivo, criei um backup do conteúdo do site e, em seguida, removi o arquivo. O backup está no meu MacBook Pro (executando o Mountain Lion). No mesmo dia meu MBP começou a agir de maneira engraçada. Eu cancelei o trabalho como uma precaução de segurança (sou um desenvolvedor de sites) para poder fazer o controle de danos.
Eu fiz uma varredura completa do ClamXav no MBP (versão mais recente do ML com a mais recente versão de segurança), mas não encontrei nada fora do comum, exceto o arquivo php que o ClamXav identificou como PHP.C99-7 . O arquivo foi movido para a quarentena.
Eu decidi que deveria ter certeza que o MBP não tem mais nenhum malware, já que era um backdoor, afinal. Eu desligo, inicializo no modo de disco de destino e, em seguida, executo outra varredura ClamXav com meu 2007 Intel Mac Pro (G5) (executando o OS X 10.6.8). 5 horas depois, sem resultados. 5 horas 5 minutos depois 17 infecções encontradas. Os arquivos foram movidos para a quarentena no meu Mac Pro.
2 dias depois (hoje) o Mac Pro começa a agir de maneira engraçada. Eu recebo um monte de erros sobre arquivos .kext sendo configurados incorretamente ou algo assim. Eu desligo e pressiono Comando + Opção + Deslocamento + Potência até obter luzes piscando. Então pressione Comando + Opção + P + R e segure até eu ouvir três sinos. Finalmente, pressione Comando + V apenas para ter certeza, mas neste momento recebo uma saída anormal:
Bug: launchctl.c :3576 (25952):17: ioctl(s6, SIOCAIFADDR_IN6, &ifra6 != -1
running fsck on the boot volume...
csrusbbluetooth blah (is normal)
Executing fsck_hfs (version diskdev_cmds-491.6~3).
hfs: Removed 1 orphaned / unlinked files and 0 directories
-crucial filesystem check: fixing bogus GID 80 on path: /sbin/launchd
-(a)crucial filesystem check: adding missing mode bits 01002 on path: /tmp/
-(b)crucial filesystem check: fixing bogus GID 80 on path: /tmp/
Repita (a) e (b) com:
/var/tmp/
/var/folders
/var/db/launchd.db
/var/db/launchd.db/com.apple.launchd
launchctl: Dubious permissions on file (skipping): /Library/LaunchDaemons
launchctl: Dubious permissions on file (skipping): /System/Library/LaunchDaemons
launchctl: Dubious permissions on file (skipping): /etc/mach_init.d
E então nada acontece, apenas fica na última linha.
Ainda não fiz o modo de usuário único ou o modo de segurança, reportarei quando o fizer, mas, enquanto isso, alguém sabe o que isso significa e como posso corrigi-lo?