Куда копать если вирус на php?

Question

Raz1el @Raz1el

Куда копать если вирус на php?

Есть вирус на php, лил где-то на сайте
Каждые 1-3 секунды пытается сменить права доступа у index.php (до этого у него удавалось их менять, сейчас почему- то нет)

часть логов

[�� 05 22:41:23 2016] [warn-ioncube] mmap cache can't open /home/users/9/9266138229/domains/graalsalon.ru/index.php - �� (pid 26540)

[Mon Dec 05 22:41:23 2016] [error] [client 141.8.132.64] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/

[�� 05 22:41:23 2016] [warn-ioncube] mmap cache can't open /home/users/9/9266138229/domains/graalsalon.ru/index.php - �� (pid 26589)

[�� 05 22:41:24 2016] [warn-ioncube] mmap cache can't open /home/users/9/9266138229/domains/graalsalon.ru/index.php - �� (pid 26589)

UPD: обращения за промежуток:

194.165.16.76 - - [05/Dec/2016:22:58:43 +0300] "GET /mdp/kdjf3.php HTTP/1.0" 404 625 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.109 Safari/537.36" 66.249.64.177 - -
[05/Dec/2016:22:59:02 +0300] "GET /afj/glnoa.php?hl=tere-bina2-fariyad-m HTTP/1.0" 404 625 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +www.google.com/bot.html)" 46.161.58.45 - -
[05/Dec/2016:22:59:12 +0300] "GET / HTTP/1.0" 403 633 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36" 5.189.200.166 - -
[05/Dec/2016:22:59:12 +0300] "GET / HTTP/1.0" 403 633 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36" 95.181.177.151 - -
[05/Dec/2016:22:59:16 +0300] "GET / HTTP/1.0" 403 633 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36" 178.154.189.28 - -
[05/Dec/2016:22:59:20 +0300] "GET /?p=220 HTTP/1.0" 403 633 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +yandex.com/bots)" 194.165.16.76 - -
[05/Dec/2016:22:59:54 +0300] "GET /afj/kdjf3.php HTTP/1.0" 404 625 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.109 Safari/537.36"

логи за тот же промежуток:

[Mon Dec 05 22:58:43 2016] [error] [client 194.165.16.76] File does not exist: /home/users/9/9266138229/domains/9266138229.myjino.ru/mdp [Mon Dec 05 22:59:02 2016] [error] [client 66.249.64.177] File does not exist: /home/users/9/9266138229/domains/9266138229.myjino.ru/afj [Mon Dec 05 22:59:12 2016] [error] [client 46.161.58.45] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:12 2016] [error] [client 5.189.200.166] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:16 2016] [error] [client 95.181.177.151] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:20 2016] [error] [client 178.154.189.28] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:54 2016] [error] [client 194.165.16.76] File does not exist: /home/users/9/9266138229/domains/9266138229.myjino.ru/afj

Вопрос задан более трёх лет назад
714 просмотров

8 комментариев

Подписаться 1 Оценить 8 комментариев

Решения вопроса 1

1 комментарий

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Средний
Как передать значение из одной страницы в скрипт формы, чтобы результат работы этого скрипта вывести в новой вкладке?
- 1 подписчик
- 47 минут назад
- 3 просмотра
0

ответов
PHP

+1 ещё

Простой
Как локализовать дату регистрации пользователя wordpress?
- 1 подписчик
- 8 часов назад
- 72 просмотра
3

ответа
PHP

Простой
Как стать oembed провайдером?
- 1 подписчик
- 8 часов назад
- 44 просмотра
0

ответов
PHP

Простой
Вывод определенной информации на страницах с конкретными именами в адресе URL с помощью strpos?
- 1 подписчик
- вчера
- 73 просмотра
2

ответа
PHP

Средний
У меня php скрипт не обрабатывает до конца данные когда его веб-хук со стороннего ресурса повторно запускает, что сделать чтобы обрабатывал?
- 1 подписчик
- вчера
- 64 просмотра
2

ответа
PHP

+2 ещё

Простой
Где хранится скрипт блокировки входа в Joomla 2?
- 1 подписчик
- вчера
- 54 просмотра
1

ответ
PHP

Простой
Как получить константы в php из другого файла в классе?
- 1 подписчик
- 05 мая
- 88 просмотров
1

ответ
PHP

Простой
Как решать эту проблему GD?
- 1 подписчик
- 04 мая
- 78 просмотров
1

ответ
PHP

+2 ещё

Простой
Как решить проблему с php?
- 1 подписчик
- 03 мая
- 162 просмотра
1

ответ
PHP

Простой
Как разделить данные с авторизацией и без?
- 1 подписчик
- 03 мая
- 91 просмотр
0

ответов
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Backend разработчик PHP Laravel

Бюро Цифровых Технологий • Санкт-Петербург

от 120 000 до 180 000 ₽

Специалист работающий с api chatgpt

07 мая 2024, в 22:37

25000 руб./за проект

Разработать веб-приложение на JS

07 мая 2024, в 22:24

7000 руб./за проект

Нужно написать реферального бота

07 мая 2024, в 21:57

600 руб./за проект

Скачай весь сайт да просканируй nod32. Он понимает что такое обфускация.
Ярослав Иванов: сканил, ничего не выявило
Raz1el: попробуйте ещё "одноразовые" антивирусы от каперского и др.веб'а, они на пару обычно большую часть отлавливают.
Raz1el: А техподдержка jino что-то говорит?
Ярослав Иванов: что это не их проблемы...
Смотри грепом все файлы на наличип эвал и подобных команд, явно у тебя гора инъекций и вкорее всего давно еще и рут шелл залили или подобное
Виталий: можно подробнее чем и что искать

Answer 1 · 2016-12-05 22:53:18

Смотрите access-логи - скрипты, к которым идёт обращение в эту секунду. Как правило, все эти операции инициируются при обращении к вредоносному серипту по http.

Куда копать если вирус на php?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт