Несколько дней назад мой веб-сайт был взломан, и был загружен вредоносный файл images.pl который создает бэкдор, который позволяет автору файла загружать / скачивать / делать все, что они захотят. Позже я узнал, что он содержит PHP.C99-7 .
Я заметил этот файл, создал резервную копию содержимого сайта, а затем удалил файл. Резервная копия находится на моем MacBook Pro (под управлением Mountain Lion). В тот же день мой MBP начал вести себя смешно. Я отменил работу в качестве меры безопасности (я разработчик веб-сайта), чтобы я мог контролировать ущерб.
Я выполнил полное сканирование ClamXav на MBP (последняя версия ML с последним выпуском безопасности), но он не нашел ничего необычного, кроме php-файла, который ClamXav идентифицировал как PHP.C99-7 . Файл был перемещен в карантин.
Я решил, что должен убедиться, что у MBP больше нет вредоносных программ, так как это все-таки бэкдор. Я выключил его, загрузился в режиме целевого диска, а затем запустил еще одно сканирование ClamXav с моим 2007 Intel Mac Pro (G5) (под управлением OS X 10.6.8). 5 часов спустя, никаких результатов. 5 часов 5 минут спустя 17 инфекций найдено. Файлы были перемещены в карантин на моем Mac Pro.
Через 2 дня (сегодня) Mac Pro начинает вести себя забавно. Я получаю кучу ошибок о неправильной настройке файлов .kext или о чем-то подобном. Я выключаю его и нажимаю Ctrl+Option+Shift+Power до тех пор, пока у меня не загорятся огни Затем нажмите Ctrl+Option+P+R и удерживайте, пока я не услышу три звонка. Наконец, нажмите Command+V, чтобы быть уверенным, но в этот момент я получаю неправильный вывод:
Bug: launchctl.c :3576 (25952):17: ioctl(s6, SIOCAIFADDR_IN6, &ifra6 != -1
running fsck on the boot volume...
csrusbbluetooth blah (is normal)
Executing fsck_hfs (version diskdev_cmds-491.6~3).
hfs: Removed 1 orphaned / unlinked files and 0 directories
-crucial filesystem check: fixing bogus GID 80 on path: /sbin/launchd
-(a)crucial filesystem check: adding missing mode bits 01002 on path: /tmp/
-(b)crucial filesystem check: fixing bogus GID 80 on path: /tmp/
Повторите (а) и (б) с:
/var/tmp/
/var/folders
/var/db/launchd.db
/var/db/launchd.db/com.apple.launchd
launchctl: Dubious permissions on file (skipping): /Library/LaunchDaemons
launchctl: Dubious permissions on file (skipping): /System/Library/LaunchDaemons
launchctl: Dubious permissions on file (skipping): /etc/mach_init.d
И тогда ничего не происходит, он просто остается на этой последней строке.
Я еще не выполнил однопользовательский или безопасный режим, сообщу, когда я это сделаю, но тем временем кто-нибудь знает, что это значит, и как я могу это исправить?