@Raz1el

Куда копать если вирус на php?

Есть вирус на php, лил где-то на сайте
Каждые 1-3 секунды пытается сменить права доступа у index.php (до этого у него удавалось их менять, сейчас почему- то нет)

часть логов

[��� ��� 05 22:41:23 2016] [warn-ioncube] mmap cache can't open /home/users/9/9266138229/domains/graalsalon.ru/index.php - �������� � ������� (pid 26540)

[Mon Dec 05 22:41:23 2016] [error] [client 141.8.132.64] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/

[��� ��� 05 22:41:23 2016] [warn-ioncube] mmap cache can't open /home/users/9/9266138229/domains/graalsalon.ru/index.php - �������� � ������� (pid 26589)

[��� ��� 05 22:41:24 2016] [warn-ioncube] mmap cache can't open /home/users/9/9266138229/domains/graalsalon.ru/index.php - �������� � ������� (pid 26589)


UPD: обращения за промежуток:

194.165.16.76 - - [05/Dec/2016:22:58:43 +0300] "GET /mdp/kdjf3.php HTTP/1.0" 404 625 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.109 Safari/537.36" 66.249.64.177 - -
[05/Dec/2016:22:59:02 +0300] "GET /afj/glnoa.php?hl=tere-bina2-fariyad-m HTTP/1.0" 404 625 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +www.google.com/bot.html)" 46.161.58.45 - -
[05/Dec/2016:22:59:12 +0300] "GET / HTTP/1.0" 403 633 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36" 5.189.200.166 - -
[05/Dec/2016:22:59:12 +0300] "GET / HTTP/1.0" 403 633 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36" 95.181.177.151 - -
[05/Dec/2016:22:59:16 +0300] "GET / HTTP/1.0" 403 633 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36" 178.154.189.28 - -
[05/Dec/2016:22:59:20 +0300] "GET /?p=220 HTTP/1.0" 403 633 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +yandex.com/bots)" 194.165.16.76 - -
[05/Dec/2016:22:59:54 +0300] "GET /afj/kdjf3.php HTTP/1.0" 404 625 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.109 Safari/537.36"

логи за тот же промежуток:

[Mon Dec 05 22:58:43 2016] [error] [client 194.165.16.76] File does not exist: /home/users/9/9266138229/domains/9266138229.myjino.ru/mdp [Mon Dec 05 22:59:02 2016] [error] [client 66.249.64.177] File does not exist: /home/users/9/9266138229/domains/9266138229.myjino.ru/afj [Mon Dec 05 22:59:12 2016] [error] [client 46.161.58.45] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:12 2016] [error] [client 5.189.200.166] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:16 2016] [error] [client 95.181.177.151] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:20 2016] [error] [client 178.154.189.28] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:54 2016] [error] [client 194.165.16.76] File does not exist: /home/users/9/9266138229/domains/9266138229.myjino.ru/afj
  • Вопрос задан
  • 716 просмотров
Решения вопроса 1
sHinE
@sHinE
веб-разработчик, php/js/mysql и сопутствующее
Смотрите access-логи - скрипты, к которым идёт обращение в эту секунду. Как правило, все эти операции инициируются при обращении к вредоносному серипту по http.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы