Как найти спам php скрипты

462
peepeep

Большинство общих серверов могут столкнуться с проблемой внедрения поддельного кода PHP на свои сайты, что может привести к генерации спам-писем, перенаправлению на другой сайт, созданию URL-адресов социальной инженерии и т. Д.

Предложите эффективный способ

узнайте о скриптах, генерирующих спам, которые не обнаруживаются во время сканирования (maldet и т. д.).

прекратить рассылку спама

0
Я просто использую контроль версий на сайтах, которыми я управляю. Таким образом, обновление исходных файлов легко. Я также могу уничтожить любые файлы, которые сам не создал. Ramhound 8 лет назад 0

1 ответ на вопрос

0
peepeep

Найдите домашний каталог (ы), который создает очередь высокой почты

grep 'cwd=/home' /var/log/exim_mainlog | awk '' | cut -d / -f 3 | sort -bg | uniq -c | sort -bg

Определите местонахождение, если какая-либо многократная операция POST любого файла PHP происходит на сайте под этим определенным домашним каталогом. Если да, проверьте файл и заблокируйте его, если он окажется подозрительным. Также заблокируйте IP, если он от определенного.

grep POST /usr/local/apache/domlogs/<homedirectory>/* | grep PHP | grep 200

Я обнаружил «шаблон 1» в большинстве зараженных файлов.         

Образец 1 

 grep -irl "GLOBALS.*eval" . | xargs ls -la | grep php

Образец 2

grep -irl "Array.*eval" . | xargs ls -la | grep php

Шаблон 2 распространен в файлах PHP и сжатых файлах jquery. Но этот шаблон также встречается в некоторых зараженных файлах. Итак, вы должны открыть каждый файл и проверить, присутствует ли вредоносный код или нет.

Шаблон 3 (поддельные инъекции JQuery)

 grep -irl "jQuery.min.php" . | xargs ls -la

Подробная информация о вредоносном ПО jQuery.min.php: https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html

Похожие вопросы