zorca, открыл уже штук 30 ))) пока что ничего подозрительного, кроме файла leave.php который весь состоит из зашифрованных (или просто с рандомными именами) переменных и таких же рандомноименных функций.
Знать бы еще что конкретное искать в этих файлах ))) Я конечно не совсем чайник, понимаю в пхп поверхностно. Что там как, но вот что конкретно и для чего - понять уже сложнее.
в темпы закачиваются 2 файла, исполнительный и конфиг. Запускаются и собственно вирус начинает майнить.
Я хочу узнать именно откуда (ипишник) и кем (через что). Откуда они появляются. Кто инициирует ? процесс это ли какой-то или пхп скрипт. Я предположил, что на одном из моих сайтов в тело какого-нибудь стандартного скрипта вшит код закачки данного майнера и его запуск. или хз как еще ??
просто со схемой вирус внутри пхп - я уже сталкивался. Так же тут обратил внимание у себя натакой файлик
leave.php Внутри все переменные - наборы символов. и вообще он очень странный. У меня 4 сайта. этот файлик лежал только в publik_html в одном. Щас его переименовал и перенес. Посмотрю, подожду.
Так же в этом же самом каталоге лежат .htacces и .htacces.bak - скрытые оО я просто не шарю, что это такое, в смысле зачем они.
zorca, ох :) какая-то жесть намечается. Ладно, отступать я не привык :)
grep -pl "base64" /*.php для начала. А может быть подскажете как искать тело вируса попроще, чем глазами всё просматривать ? :) может есть какая-то общая тенденция с помощью которой можно сочинить команду ?
zorca, читайте дальше :) Я же написал, что тупанул. я искал "base64" а только после того как написал сюда понял, что надо сам шифр вставлять из конфига вируса. :)
1. с SSH конечно все плохо и я бы рад сделать как вы советуете только... Проблема в том, что есть у нас тут целый отдел, который работает со всеми этими серверами. Я в отделе не особо авторитетный, ибо слабенько шарю, хоть и стремлюсь изучать всё на свете. Первое что я предложил, это сменить нафиг пароли и порт ssh. Мне сказали, "да это не в этом дело, там просто всё старое и дырявое"
2. Вирус запускается от www-data
по ривизии.... Всё старое и обновляться:
"ни в коем случае нельзя, ибо всё перестанет работать и вообще, итак всё работает, ни че не трогай, удаляй из темпа руками этот вирус" (ну я скрипт напишу, на первое время, пока разбираюсь)
На самом деле времени куча ибо никто разбираться с этим не хочет, а мне интересно и есть свободное время. Думаю получить очень полезный опыт. Так как "свои" не очень то любят помогать, ведь постоянно заняты - пишу сюда. :)
zorca, по base64 нашло дофига чего. Прям вообще дофигища. В папке home у всех пользователей во всяких бэкапах, во всяких ява и пхп скриптах. В файлах конфигов. В папке хостинг в каждом сайте. Короче практически везде где только можно )))
azerphoenix, "- открыть админку, установить плагин Better Search Replace, поставить галочку "изменять GUID", снять галочку "холостой режим" и заменить старые урлы на новые.
- Удалить содержимое htaccess. Через админку обновить постоянные ссылки, тем самым ВП сгенерирует новый htaccess.
- Проверить плагины и темы на совместимость с версией рнр"
Вот это надо проверить, попробовать. Хтацесс уже удалял.
Это конечно так себе совет. Сервак у меня не на моём компе находится.
Использовал эти команды
UPDATE wp_options SET option_value = replace(option_value, 'domain.ru', 'newdomain.ru') WHERE option_name = 'home' OR option_name = 'siteurl';
UPDATE wp_posts SET guid = replace(guid, 'domain.ru','newdomain.ru');
UPDATE wp_posts SET post_content = replace(post_content, 'domain.ru', 'newdomain.ru');
Сейчас ссылка открывается как надо. 10.11.0.153/about-us (например) но всё равно "Not Found
The requested URL /about-us/ was not found on this server."