Большинство общих серверов могут столкнуться с проблемой внедрения поддельного кода PHP на свои сайты, что может привести к генерации спам-писем, перенаправлению на другой сайт, созданию URL-адресов социальной инженерии и т.д.

Предложите эффективный способ

узнайте, какие скрипты генерируют спам, которые не находятся во время сканирования (maldet и т. д.)

прекратить рассылку спама

1 ответ1

0

Найдите домашний каталог (ы), который создает очередь высокой почты

grep 'cwd=/home' /var/log/exim_mainlog | awk '{print $3}' | cut -d / -f 3 | sort -bg | uniq -c | sort -bg

Определите местонахождение, если какая-либо многократная операция POST любого файла PHP происходит на сайте под этим определенным домашним каталогом. Если да, проверьте файл и заблокируйте его, если он окажется подозрительным. Также заблокируйте IP, если он от определенного.

grep POST /usr/local/apache/domlogs/<homedirectory>/* | grep PHP | grep 200 

Я обнаружил «шаблон 1» в большинстве зараженных файлов.         

Образец 1 

  grep -irl "GLOBALS.*eval" . | xargs ls -la | grep php

Образец 2

grep -irl "Array.*eval" . | xargs ls -la | grep php

Шаблон 2 распространен в файлах PHP и сжатых файлах jquery. Но этот шаблон также встречается в некоторых зараженных файлах. Итак, вы должны открыть каждый файл и проверить, присутствует ли вредоносный код или нет.

Шаблон 3 (поддельные инъекции JQuery)

   grep -irl "jQuery.min.php" . | xargs ls -la

Подробная информация о вредоносном ПО jQuery.min.php:https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .