Algo está renomeando arquivos php para .php.suspected; Estou tentando descobrir o que

3

Relacionados:

Eu tenho um cliente com um servidor de webhosting que está executando o Linux que está sofrendo com esse problema. Não é um site Wordpress, embora ele execute sites Wordpress no mesmo servidor.

Nós dois estamos cientes do problema e que alguns desses arquivos realmente têm conteúdo de malware - no entanto, há também alguns falsos positivos, e eles estão afetando o funcionamento do site (tornando arquivos ilegíveis), então ele está perguntando para rastrear qual parte do software instalado está fazendo isso e parar com isso.

O problema é que não estou 100% certo de que o que está causando a renomeação e por quê. Eu suspeito clamav / amavis porque está em seu alcance, mas nada em cron realmente surge para mim como uma causa possível para o que parece ser varreduras semanais ...

    
por Shadur 13.03.2017 / 11:37

2 respostas

2

Use um mecanismo de auditoria de alteração de arquivo como o LoggedFS ou o Linux subsistema de auditoria . Veja também Como determinar qual processo está criando um arquivo? , Registre todas as invocações de todos os programas SUID? , Stump the Chump com o Auditd 01 ...

Supondo que o servidor esteja executando o Linux, o sistema de auditoria parece a melhor solução. Registre todas as operações de renomeação de arquivos na árvore de diretórios relevante, por exemplo, /var/www :

auditctl -a exit,always -S rename -F dir=/var/www

Os logs de auditoria estão normalmente em /var/log/audit/audit.log . Aqui está um registro de amostra de cd /var/www; mv foo bar com a regra acima:

type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669):  cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE
    
por 14.03.2017 / 02:40
0

Sei que a pergunta foi feita há algum tempo, mas a renomeação dos arquivos .php para .php.suspected continua acontecendo hoje. Os seguintes comandos não devem aparecer com algo:

find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print

No caso que eu vi, os arquivos infectados podem ser localizados com os seguintes comandos:

cd <web site root>
egrep -Rl '\$GLOBALS.*\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'

Eu preparei uma descrição mais longa do problema que tenho visto e como lidar com isso no GitHub . Eu suspeito que muitas variantes deste malware foram aparecendo no passado. A maneira como eles infectam um site depende do CMS usado e das vulnerabilidades disponíveis no momento do ataque. Nesse caso, era mais provável que Drupalgeddon2 .

    
por 27.11.2018 / 18:31