Удаление вируса: код приходит снова и снова

Question

Я нашел следующий код в index.php .... Он приходит снова и снова даже после удаления.

screenshot

Что такое решение?

Пожалуйста, помогите.

Answer 1

У вас большие проблемы. Кто-то, очевидно, атаковал ваш сайт и нашел способ выполнить произвольный (PHP) код. В зависимости от того, что делает их код впрыска, весь ваш сервер может быть взломан. В зависимости от ваших правил безопасности/осведомленности (возможно, не слишком хорошо, если вы должны спросить), другие системы также могут быть скомпрометированы с информацией, загруженной с вашего скомпрометированного веб-сервера. Это вещи, которые необходимо учитывать, а не обязательно в этом порядке, и список ни в коем случае не является исчерпывающим.

1. Возьмите ваш веб-сервер в автономном режиме. Сделайте это, даже если вы не делаете ничего другого, и сделайте это сначала. То есть для защиты невинных людей, которые спотыкаются на вашем сайте: может быть, вся цель вводимого кода - атаковать их, обслуживая вредоносное ПО. Сообщите вашим пользователям, что этот сайт подвергся нападению, и их информация может быть скомпрометирована, а также по другому каналу, если это возможно (например, по электронной почте).
2. kill все затяжные процессы PHP/процессы веб-сервера. (kill -9 для упрямых.)
3. Удалите включенный файл (а не код, делающий include_once()).
4. Удалите введенный код. (код, делающий include_once())
5. Укажите, как код был введен в ваш PHP-скрипт в первую очередь.
6. Исправить эти проблемы.
7. Проверьте, нет ли других способов для злоумышленника вернуться и сделать то же самое, например, учетные записи пользователей с доступом к оболочке, которых не должно быть ...
8. Проверьте еще раз, убедитесь, что вы не разрешить выполнение файлов, загруженных пользователями вашего сайта, например (если вы делали плохие вещи, например chmod 777, это, вероятно, почему).
9. Повторите попытку, злоумышленник мог бы просто сделать что-то вроде замещенных двоичных файлов в вашей системе с помощью backdoored версий. Или загрузили другие исполняемые файлы и выполнили их. Или передал вредоносные программы с вашего сайта с угрозами вашим пользователям.
10. Проверьте, что ваш злоумышленник не стал эскалацией вещей, как вы знаете, чтобы получить ваши учетные данные для входа на панели администратора хостинг-провайдера, учетные записи оболочки, электронную почту, корневой доступ или резервные копии, репозитории исходного кода ... Возможно, они нарушили другие вещи, о которых вы в настоящее время не знаете или можете просто вернуться и использовать инструменты администратора, чтобы впоследствии отменить свою тяжелую работу.
11. Проведите полный анализ причин того, что произошло, когда это произошло, как это произошло и что произошло потом. Это для вас, чтобы узнать о том, как улучшить как системный администратор, потенциально избежать этого от вас в будущем, но скорее поможет вам в обнаружении и оповещении вас о признаках того, что это происходит снова. Sysadmin - это работа на 24x7, главным образом, из-за этой причины: когда вы настраиваете ситуацию, вы не можете просто расслабиться и двигаться дальше.
12. Остерегайтесь своего хостинг-провайдера, попросите их также изучить его.
13. Возможно, все, что считается полной очисткой и переустановкой вашей ОС, уделяя более пристальное внимание безопасности во время конфигурации, может быть здесь.
14. Когда вы, наконец, очистились и восстановились, снова включите свой сайт из известной хорошей/чистой резервной копии.

Это может быть еще хуже. Когда дело доходит до плохой практики безопасности, вы вряд ли будете одиноки/в первую очередь. Может оказаться, что вы были скомпрометированы не за счет собственных ошибок, а из-за плохой безопасности со стороны вашего хостинг-провайдера (такие хорошие и удобные панели администрирования, как известно, также содержат ошибки безопасности). Но, как бы то ни было, предположите, что вы перепутали и продолжаете осторожно оттуда.