После атаки у меня возникла странная проблема на сервере. В веб-папке у меня есть index.php с вредоносным контентом. Когда я пытаюсь удалить, переименовать или изменить его содержимое, он каким-то образом воссоздается.
Я проверил crontab и ps, но ничего подозрительного не обнаружил.
Также очень интересно, что если я изменю владельца файла на root, он все равно будет воссоздан без каких-либо проблем.
Название и версия системы сервера: Debian GNU / Linux 8 (jessie)
Вероятно, какой-то незваный процесс работает в фоновом режиме и воссоздает файл, если обнаруживает, что index.php отсутствует. В качестве альтернативы злоумышленник установил incron который затем реагирует на событие удаления файла.
В любом случае, прекратите использовать этот сервер в производстве, если вы этого еще не сделали, и отключите его от общедоступного Интернета. В образовательных целях вы можете продолжить исследование в изолированной среде, чтобы узнать, что и откуда попало на ваш сервер.
Кроме того, переустановите сервер и выполните восстановление из резервных копий.
я предполагать что это судебно-медицинский упражнение, чтобы узнать, что на вас напало, и не пытается вернуть этот скомпрометированный сервер в работоспособное состояние.
Там есть только один путь для достижения последнего:
Burn the machine to the ground and rebuild it from scratch.
«Повторное появление» часто осуществляется через cron, часто с использованием сильно замаскированных сценариев, полных управляющих символов, которые процессы оболочки просто интерпретируют как обычный текст.
Наконец я нашел быстрое решение.
Надеюсь, это кому-нибудь поможет