web-dev-qa-db-ja.com

ルートフォルダーに自動的に作成された不明なファイル

そのような質問をするのが正しい場所かどうかはわかりません。私のウェブサイトの1つがマルウェアに感染しました。これは1&1サーバーでホストされ、WebサイトはWordPress 3.3.1(3.5にアップグレードされました)で開発されています。私が気づいたいくつかのことは次のとおりです。

  1. 1278bd2dc5f89296044af950a96cd9d0という名前のファイルは、パブリックルートディレクトリに自動的に作成されます。削除すると、数分で再び表示されます。
  2. このファイルには、パイプ記号で区切られたIPアドレスがあります。数分ごとに、新しいIPアドレスがリストに追加されます。
  3. 初期状態では、index.phpおよびwp-admin/admin.phpファイルもより低い権限で上書きされます。持っているものは表示できませんでしたが、削除することしかできませんでした。
  4. サーバーにSSH接続したところ、実行中の不明なプロセスがないことがわかりました。
  5. 1人のFTPユーザーがいます。そのパスワードは少し前に変更しました。

誰か教えてもらえますか?この出来事を止めるには何をどこで確認すればよいですか?多分それはリモートプロセスですが、どのように追跡するのですか?

現時点での内容は次のとおりです。

157.55.32.83 | 199.21.99.106 | 173.255.233.124 |

3
FatalError

ついに、訪問者のIPを作成および記録する評価コードを含むindex.phpファイルがほとんどないことがわかりました。誰かが同じ状況に陥った場合、次のフローをお勧めします。

  1. Webサイト全体で次の文字列のいずれかを検索します。

    • eval(base64_decode
    • eval(gzinflate
    • eval(gzuncompress
    • 上記のすべてで、「eval」ではなく「echo」が使用されています。
  2. ステップ1が機能しない場合は、より一般的な検索を試してください

    • 評価する
    • base64_encode
    • str_rot13
    • edoced_46esab
    • gzinflate
    • gzuncompress
  3. おそらく、得られる結果には、良いコードと悪いコードの両方が含まれます。次に、どれが悪いかを特定する必要があります。

  4. 独立しており、読み取り可能ではないコードを探してください。
  5. このコードのすべての出現を削除します。
  6. 同様のコードをもう一度検索して、サイトがクリーンであることを確認してください。
  7. コードによって生成されたファイルを削除します。

thisscript を使用して、その不潔なコードの機能を確認できます

0
FatalError
  1. ウェブサイトを一時的にダウンとしてマークします。
  2. 感染していないと確信し、データを大量に失うことがない、以前のバックアップ(1&1からのバックアップが必要)にロールバックします。
  3. 最新のWP(再度)にアップグレードします。
  4. プラグインをアップグレードし、不要なプラグインを削除します。
  5. もう一度オンラインにします。
2
CSᵠ

WPプラグイン http://www.wordfence.com/ を試してください。少し遅れてWPファイルをスキャンし、修正を推奨できます。私も手動で修正し、wordfenceを実行し続けました。

0
Abhishek Dujari