Essa longa cadeia em seus registros de acesso é codificada por URL e decodifica para isso:
-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0
Parece-me que está a passar várias opções para php-cgi
que desativam todas as funcionalidades de segurança, como a não inclusão de URLs, a exclusão de determinadas funções e o modo de segurança. Ele também permite que o código PHP seja transmitido no STDIN, o que provavelmente permite que o invasor simplesmente forneça código para ser executado como os parâmetros POST.
Isso é quase certamente malicioso.
A vulnerabilidade neste caso é provavelmente que php-cgi
esteja em um diretório acessível pela web e / ou possa ser solicitado diretamente.
As duas linhas na sua saída ps
também são suspeitas. Você pode investigá-los ainda mais, procurando no sistema de arquivos /proc
.
sudo ls -l /proc/29377/fd
Ou usando strace
no PID:
sudo strace -f -p 29377 -s400
A saída de strace
pode ser muito grande e difícil de ler, mas não deve ser muito difícil detectar tentativas de conexão de spam ou de rede. Você pode limitar a saída com opções como -e trace=file
ou -e trace=file,network
.
Depois de determinar que o é malicioso e você sabe como ele chegou, siga as instruções nesta questão para limpar depois . Simplesmente remover os arquivos que você encontra não é suficiente porque o invasor poderia ter feito qualquer coisa para se esconder no sistema.