Рейтинг:0

Взломанный файл восстанавливается всякий раз, когда он удаляется - ubuntu/apache2

флаг ph

Только что взломанный веб-сайт был отмечен Sucuri

Было помечено несколько бэкдор-файлов PHP, которые я смог удалить.

Однако файл index.php содержит спам-ссылку, вставленную в его нижнюю часть.

Я попытался удалить его - это работает, но файл мгновенно восстанавливается.

Я попытался изменить разрешения (для них установлено значение -rw-r--r-- www-data:www-data) для рутирования и редактирования файла - он мгновенно возвращается к указанным выше разрешениям при сохранении, и мое редактирование ушел

Sucuri теперь помечает сайт как чистый, т. е. больше не содержит бэкдора, НО очевидно, что что-то там все еще делает это.

На сервере также есть много других сайтов, и ни один из них не скомпрометирован (очевидно, во всяком случае) - и поэтому кажется, что что-то в папке этого конкретного сайта ответственно.

Есть ли способ отслеживать, ЧТО манипулирует файлом index.php, чтобы отследить, откуда возникает проблема? Любые другие идеи? (Кроме того, чтобы начать снова с нуля, что я МОГУ сделать, но не легко).

Приветствуется любой вклад - спасибо!

флаг ph
Не уверен, кто это закрыл, но я не согласен с тем, что это дубликат. Я знаю, что есть процесс работы со скомпрометированным сервером, но я задаю конкретный вопрос о том, как определить, какой файл изменяет этот файл - это отдельная вещь, и я не думаю, что вы помогаете кому-либо еще, кто мог бы столкнуться с этой проблемой, просто закрыв как дубликат
John Mahowald avatar
флаг cn
Многие из Server Fault не будут касаться вопросов о скомпрометированной системе и твердо убеждены, что единственным ответом является чистая установка известного хорошего программного обеспечения, восстановление резервной копии и смена всех паролей. Особенно, когда неясно, полностью ли вы исследовали, как могут сохраняться угрозы. Может быть, вынести на обсуждение мета-сбой сервера?
флаг us
Проблема с поиском источника изменений заключается в том, что вредоносное ПО скрывает информацию несколькими способами. Вы не можете быть уверены, что ваша система чиста, иначе как переустановить из чистого состояния. Любое другое действие не является профессиональным, а потому является оффтопом для данного сайта.
Рейтинг:1
флаг in

С флагом доступа 644 запись идет из учетной записи пользователя, скажем апач. Возможно, вы сможете подшутить над затаившимся APT.

Сделайте сумасшедший шаг, чтобы дать этот файл 406 (r-----wr-) и использовать учетную запись из другие Группа для редактирования файла. Если изменение останется, настройка аудита доступа к файлам, вернись к разрешениям на 644 и посмотри.

Если файл изменяется, несмотря на разрешения 406, ваш APT, вероятно, имеет root-доступ, и вам следует начать перестроение. Это больше не ваш сервер.

Удачи и поздравляю с чисткой, которую вы сделали до сих пор...

флаг ph
Спасибо - ссылка на аудит доступа к файлам очень помогла ... Таким образом, используя это, я вижу, что это ЕСТЬ usr/sbin/apache2, который обновляет файл до его предыдущего состояния после того, как я его отредактировал. По прихоти я остановил apache, а ТОГДА отредактировал файл - и он не был перезаписан даже после перезапуска apache. Итак, спам теперь исчез, но я не уверен, где в журналах apache я могу посмотреть, КАКОЙ именно файл использовал apache для его перезаписи?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.