Автор Тема: похоже на вирус в процессе (Прочитано 829 раз)

jerrard.genr · « : 09 Января 2020, 13:20:23 »

Добрый день!
Имеем VDS на ubunto 16.04 и два сайта wp и на yii2

Видимо поймал вирус. проверили по "lsof" процессы и соединения , ничего не нашли. Похожу что заражен процесс(если такое возможно).
Вирус меняет файл index.php (вставляет вредоносный код), при изменении или удалении файла вручную , вирус его переписывает(не моментально, похоже что раз в день)

Подскажите куда копать ? Как можно отследить и поймать демона? auditb установить не получается, есть ли идеи?

БТР · « **Ответ #1 :** 09 Января 2020, 14:24:58 »

Цитата: jerrard.genr от 09 Января 2020, 13:20:23

auditb установить не получается

почему? это самый простой способ. Пакет называется auditd (не auditb).

используйте функционал inotify + strace

AlexBKost · « **Ответ #2 :** 09 Января 2020, 18:42:11 »

jerrard.genr, вирусы на Ubuntu - это МИФ.

Usermaster · « **Ответ #3 :** 10 Января 2020, 12:43:30 »

Для начала все пароли доступа к серверу сменили бы.
Можно отследить чужие авторизации в зависимости от того какими способами разрешены входы на сервер.

snowin · « **Ответ #4 :** 10 Января 2020, 12:51:56 »

Цитата: AlexBKost от 09 Января 2020, 18:42:11

вирусы на Ubuntu - это МИФ.

понятие "вирус" довольно широкое
под него может попасть и какой-нить шифровальщик и криптомайникг, который не портит систему как таковую, но нагрузит её по самое неболуйся

Usermaster · « **Ответ #5 :** 10 Января 2020, 13:06:49 »

Цитата: snowin от 10 Января 2020, 12:51:56

понятие "вирус" довольно широкое
под него может попасть и какой-нить шифровальщик и криптомайникг, который не портит систему как таковую, но нагрузит её по самое неболуйся

Вирус довольно тонкая и изощьрённая вещь, как правило тело его в системе найти очень трудно.
А это обычно характеризуют термином "вредоносное ПО".

БТР · « **Ответ #6 :** 10 Января 2020, 14:50:44 »

jerrard.genr, может поделитесь результатом? Тема отмечена как решённая.

MooSE · « **Ответ #7 :** 11 Января 2020, 09:25:12 »

Цитировать

Вирус меняет файл index.php (вставляет вредоносный код), при изменении или удалении файла вручную , вирус его переписывает(не моментально, похоже что раз в день)

А не может ваш php-код быть с дырой?

Какой веб-сервер используете? Под каким пользователем он запущен? Кто владелец файла index.php? Попробуйте сделать две вещи:
1. Сделать файл недоступным для записи веб-серверу
2. Посмотреть логи веб-сервера на предмет злых ботов, пытающихся эксплуатировать дыры в стандартных движках.

F12 · « **Ответ #8 :** 12 Января 2020, 21:27:47 »

Цитата: БТР от 10 Января 2020, 14:50:44

jerrard.genr, может поделитесь результатом? Тема отмечена как решённая.

+1

Форум русскоязычного сообщества Ubuntu

Автор Тема: похоже на вирус в процессе (Прочитано 829 раз)

jerrard.genr

похоже на вирус в процессе

БТР

Re: похоже на вирус в процессе

AlexBKost

Re: похоже на вирус в процессе

Usermaster

Re: похоже на вирус в процессе

snowin

Re: похоже на вирус в процессе

Usermaster

Re: похоже на вирус в процессе

БТР

Re: похоже на вирус в процессе

MooSE

Re: похоже на вирус в процессе

F12

Re: похоже на вирус в процессе