So finden Sie Spam-PHP-Skripte

517
peepeep

Bei den meisten gemeinsam genutzten Servern kann es vorkommen, dass gefälschter PHP-Code in ihre Websites eingefügt wird. Dies kann zur Generierung von Spam-Mails, zur Weiterleitung auf eine andere Website, zur Erstellung von Social Engineering-URLs usw. führen.

Schlage einen effektiven Weg vor

Ermitteln Sie die Spam-generierenden Skripts, die beim Scannen nicht gefunden werden (Maldet usw.).

stoppen Sie E-Mail-Spamming

0
Ich verwende nur die Versionskontrolle auf den von mir verwalteten Websites. Auf diese Weise ist ein Update der Quelldateien einfach. Ich kann auch alle Dateien herausfiltern, die ich nicht selbst erstellt habe. Ramhound vor 8 Jahren 0

1 Antwort auf die Frage

0
peepeep

Suchen Sie das Heimatverzeichnis, in dem die Warteschlange für hohe E-Mails erstellt wird

grep 'cwd=/home' /var/log/exim_mainlog | awk '' | cut -d / -f 3 | sort -bg | uniq -c | sort -bg

Stellen Sie fest, ob in der Site unter diesem bestimmten Basisverzeichnis mehrere POST-Vorgänge einer PHP-Datei stattfinden. Wenn ja, überprüfen Sie die Datei und sperren Sie sie, wenn Sie sie verdächtig finden. Blockieren Sie auch die IP, wenn sie von einer bestimmten ist.

grep POST /usr/local/apache/domlogs/<homedirectory>/* | grep PHP | grep 200

Ich habe das „Muster 1“ in den meisten infizierten Dateien gefunden.         

Muster 1 

 grep -irl "GLOBALS.*eval" . | xargs ls -la | grep php

Muster 2

grep -irl "Array.*eval" . | xargs ls -la | grep php

Muster 2 ist in PHP-Dateien und komprimierten Jquery-Dateien üblich. Dieses Muster ist jedoch auch in einigen infizierten Dateien enthalten. Sie sollten also jede Datei öffnen und prüfen, ob bösartiger Code vorhanden ist oder nicht.

Muster 3 (Gefälschte jQuery-Injektionen)

 grep -irl "jQuery.min.php" . | xargs ls -la

Ausführliche Informationen zu jQuery.min.php Malware: https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html

Verwandte Probleme