На этот вопрос уже есть ответ здесь:
У меня возникла странная проблема на сервере после атаки. В веб-папке у меня есть index.php
с вредоносным содержимым. Когда я пытаюсь удалить, переименовать или изменить его содержимое, он каким-то образом воссоздается.
Я проверил crontab и ps, но ничего подозрительного не обнаружил.
Также очень интересно, что если я изменю владельца файла на root, он все равно будет воссоздан без каких-либо проблем.
Имя и версия серверной системы: Debian GNU / Linux 8 (jessie)
Вероятно, некоторый нежелательный процесс работает на фоне и воссоздает файл, если он узнает, что index.php отсутствует. С другой стороны, взломщик действительно устанавливал incron
, который затем реагирует на событие удаления файла.
Так или иначе, прекратите использовать тот сервер в производстве, если Вы уже не сделали так и разъединили его от общедоступного Интернета. В образовательных целях можно продолжить исследовать его в изолированной среде для наблюдения то, что поражает сервер и от где.
Кроме этого, переустановите свой сервер и восстановление от резервных копий.
Я принимаю , что это судебное осуществление для обнаружения то, что напало на Вас и не попытка вернуть этот поставленный под угрозу сервер в пригодное к эксплуатации состояние.
существует только один путь для достижения последнего:
Burn the machine to the ground and rebuild it from scratch.
Вещи, "вновь появляющиеся", часто делаются через крон, часто с помощью в большой степени замаскированных сценариев, полных управляющих символов, которые окружают процессы, просто интерпретируют как обычный текст.
Наконец я нашел быстрое решение.
, я надеюсь, что это поможет кому-то