Куда копать если вирус на php?

Question

Raz1el @Raz1el

Куда копать если вирус на php?

Есть вирус на php, лил где-то на сайте
Каждые 1-3 секунды пытается сменить права доступа у index.php (до этого у него удавалось их менять, сейчас почему- то нет)

часть логов

[�� 05 22:41:23 2016] [warn-ioncube] mmap cache can't open /home/users/9/9266138229/domains/graalsalon.ru/index.php - �� (pid 26540)

[Mon Dec 05 22:41:23 2016] [error] [client 141.8.132.64] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/

[�� 05 22:41:23 2016] [warn-ioncube] mmap cache can't open /home/users/9/9266138229/domains/graalsalon.ru/index.php - �� (pid 26589)

[�� 05 22:41:24 2016] [warn-ioncube] mmap cache can't open /home/users/9/9266138229/domains/graalsalon.ru/index.php - �� (pid 26589)

UPD: обращения за промежуток:

194.165.16.76 - - [05/Dec/2016:22:58:43 +0300] "GET /mdp/kdjf3.php HTTP/1.0" 404 625 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.109 Safari/537.36" 66.249.64.177 - -
[05/Dec/2016:22:59:02 +0300] "GET /afj/glnoa.php?hl=tere-bina2-fariyad-m HTTP/1.0" 404 625 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +www.google.com/bot.html)" 46.161.58.45 - -
[05/Dec/2016:22:59:12 +0300] "GET / HTTP/1.0" 403 633 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36" 5.189.200.166 - -
[05/Dec/2016:22:59:12 +0300] "GET / HTTP/1.0" 403 633 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36" 95.181.177.151 - -
[05/Dec/2016:22:59:16 +0300] "GET / HTTP/1.0" 403 633 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36" 178.154.189.28 - -
[05/Dec/2016:22:59:20 +0300] "GET /?p=220 HTTP/1.0" 403 633 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +yandex.com/bots)" 194.165.16.76 - -
[05/Dec/2016:22:59:54 +0300] "GET /afj/kdjf3.php HTTP/1.0" 404 625 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.109 Safari/537.36"

логи за тот же промежуток:

[Mon Dec 05 22:58:43 2016] [error] [client 194.165.16.76] File does not exist: /home/users/9/9266138229/domains/9266138229.myjino.ru/mdp [Mon Dec 05 22:59:02 2016] [error] [client 66.249.64.177] File does not exist: /home/users/9/9266138229/domains/9266138229.myjino.ru/afj [Mon Dec 05 22:59:12 2016] [error] [client 46.161.58.45] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:12 2016] [error] [client 5.189.200.166] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:16 2016] [error] [client 95.181.177.151] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:20 2016] [error] [client 178.154.189.28] Directory index forbidden by Options directive: /home/users/9/9266138229/domains/9266138229.myjino.ru/ [Mon Dec 05 22:59:54 2016] [error] [client 194.165.16.76] File does not exist: /home/users/9/9266138229/domains/9266138229.myjino.ru/afj

Вопрос задан более трёх лет назад
716 просмотров

8 комментариев

Подписаться 1 Оценить 8 комментариев

Решения вопроса 1

1 комментарий

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Вредоносное ПО

+1 ещё

Средний
Вирус на флешке?
- 1 подписчик
- 4 часа назад
- 30 просмотров
0

ответов
PHP

Простой
Как запустить fusionbrain api на php?
- 1 подписчик
- 6 часов назад
- 52 просмотра
1

ответ
PHP

Простой
Как сделать связанную работу двух сайтов?
- 1 подписчик
- 11 часов назад
- 79 просмотров
1

ответ
PHP

+2 ещё

Средний
Какой метод реализации при подходе CQRS правильный?
- 1 подписчик
- 11 часов назад
- 69 просмотров
0

ответов
PHP

+1 ещё

Простой
Как вывести на сайт что я печатаю сообщение из телеграмм?
- 1 подписчик
- 16 часов назад
- 80 просмотров
0

ответов
Ubuntu

+2 ещё

Простой
Хакнули сервер, как избавиться от майнеров?
- 1 подписчик
- 23 часа назад
- 211 просмотров
2

ответа
PHP

+1 ещё

Простой
Как тестировать запросы и ответы из базы данных через phpunit?
- 3 подписчика
- 02 нояб.
- 1084 просмотра
1

ответ
PHP

+1 ещё

Простой
Ошибка Invalid command 'php_value'?
- 1 подписчик
- 01 нояб.
- 122 просмотра
0

ответов
PHP

Простой
Как спроектировать роутер?
- 2 подписчика
- 01 нояб.
- 659 просмотров
0

ответов
YouTube

+1 ещё

Средний
Как избавиться от вируса, накручивающего просмотры на youtube?
- 2 подписчика
- 01 нояб.
- 324 просмотра
2

ответа
Показать ещё Загружается…

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

PHP разработчик

FSD

До 180 000 ₽

PHP разработчик

Lenkep Recruitment

от 190 000 ₽

Поиск изображений на ElasticSearch

05 нояб. 2024, в 07:38

5000 руб./за проект

Разработать интерфейс (UX/UI) для финансового сервиса

05 нояб. 2024, в 02:29

100000 руб./за проект

Исправить критические ошибки архитектуры приложения на Flutter, чаты

05 нояб. 2024, в 01:36

250000 руб./за проект

Скачай весь сайт да просканируй nod32. Он понимает что такое обфускация.
Ярослав Иванов: сканил, ничего не выявило
Raz1el: попробуйте ещё "одноразовые" антивирусы от каперского и др.веб'а, они на пару обычно большую часть отлавливают.
Raz1el: А техподдержка jino что-то говорит?
Ярослав Иванов: что это не их проблемы...
Смотри грепом все файлы на наличип эвал и подобных команд, явно у тебя гора инъекций и вкорее всего давно еще и рут шелл залили или подобное
Виталий: можно подробнее чем и что искать

Answer 1 · 2016-12-05 22:53:18

Смотрите access-логи - скрипты, к которым идёт обращение в эту секунду. Как правило, все эти операции инициируются при обращении к вредоносному серипту по http.

Куда копать если вирус на php?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт