有些东西将php文件重命名为.php.suspected;我想知道什么
作者:互联网
有关:
> https://serverfault.com/questions/748417/something-renames-files-to-filename-ext-suspected
> https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected
我有一个客户与一个运行Linux的虚拟主机服务器谁正在遭受这个问题.它不是一个Wordpress网站,虽然他确实在同一台服务器上运行Wordpress网站.
我们都知道这个问题,而且其中一些文件确实有恶意软件内容 – 但是,也存在一些误报,它们正在影响网站的运行(通过渲染包含文件不可读),所以他要求我跟踪安装软件的哪个部分正在执行此操作并停止它.
麻烦的是,我不是百分之百确定导致重命名的原因以及原因.我怀疑是clamav / amavis,因为它属于他们的职权范围,但是cron中的任何内容都不会对我产生影响,因为这可能是每周扫描的原因……
解决方法:
使用文件更改审核机制,例如LoggedFS或Linux的audit subsystem.另请参阅How to determine which process is creating a file?,Log every invocation of every SUID program?,Stump the Chump with Auditd 01 …
假设服务器运行Linux,审计系统看起来是最好的解决方案.记录相关目录树中的所有文件重命名操作,例如在/ var / WWW:
auditctl -a exit,always -S rename -F dir=/var/www
审计日志通常位于/var/log/audit/audit.log中.这是来自cd / var / www的示例日志; mv foo bar与上面的规则:
type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669): cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE
标签:malware,php,clamav 来源: https://codeday.me/bug/20190814/1658313.html