Вирус для сайтов в системе. Как найти и удалить?

Автор lamokk, 29 октября 2018, 18:38:27

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

lamokk

Добрый день.
Использую Debian как свой сервер. Там 2 сайта.
И вот горе, появилась какая-то дрянь.
Создает файлы hoxxwp7l.zip распаковывает его ну и т.д.

Как найти причину проблемы?
Где посмотреть что грузиться при старте системы?

Что сделал:
rc.local посмотрел-чисто
Удалил все появившиеся-появляется снова.
Все пароли сменил-не помогает.

Подскажите что делать.

systemctl
Открыть содержимое (спойлер)
UNIT                        LOAD   ACTIVE SUB       DESCRIPTION
proc-sys-fs-binfmt_misc.automount loaded active waiting   Arbitrary Executable F
sys-devices-pci0000:00-0000:00:02.0-backlight-acpi_video0.device loaded active p
sys-devices-pci0000:00-0000:00:13.0-ata1-host0-target0:0:0-0:0:0:0-block-sda-sda
sys-devices-pci0000:00-0000:00:13.0-ata1-host0-target0:0:0-0:0:0:0-block-sda-sda
sys-devices-pci0000:00-0000:00:13.0-ata1-host0-target0:0:0-0:0:0:0-block-sda-sda
sys-devices-pci0000:00-0000:00:13.0-ata1-host0-target0:0:0-0:0:0:0-block-sda.dev
sys-devices-pci0000:00-0000:00:13.0-ata2-host1-target1:0:0-1:0:0:0-block-sdb.dev
sys-devices-pci0000:00-0000:00:1b.0-sound-card0.device loaded active plugged   A
sys-devices-pci0000:00-0000:00:1c.0-0000:01:00.0-net-eth0.device loaded active p
sys-devices-pci0000:00-0000:00:1c.1-0000:02:00.0-net-eth1.device loaded active p
sys-devices-platform-serial8250-tty-ttyS2.device loaded active plugged   /sys/de
sys-devices-platform-serial8250-tty-ttyS3.device loaded active plugged   /sys/de
sys-devices-pnp0-00:04-tty-ttyS0.device loaded active plugged   /sys/devices/pnp
sys-devices-pnp0-00:05-tty-ttyS1.device loaded active plugged   /sys/devices/pnp
sys-devices-virtual-net-ppp0.device loaded active plugged   /sys/devices/virtual
sys-subsystem-net-devices-eth0.device loaded active plugged   RTL8111/8168/8411
sys-subsystem-net-devices-eth1.device loaded active plugged   RTL8111/8168/8411
sys-subsystem-net-devices-ppp0.device loaded active plugged   /sys/subsystem/net
-.mount                     loaded active mounted   /
dev-hugepages.mount         loaded active mounted   Huge Pages File System
dev-mqueue.mount            loaded active mounted   POSIX Message Queue File Sys
home-media.mount            loaded active mounted   /home/media
lines 1-23...skipping...
UNIT                        LOAD   ACTIVE SUB       DESCRIPTION
proc-sys-fs-binfmt_misc.automount loaded active waiting   Arbitrary Executable File Fo
sys-devices-pci0000:00-0000:00:02.0-backlight-acpi_video0.device loaded active plugged   /sys/devices/pci0000:00/0000
sys-devices-pci0000:00-0000:00:13.0-ata1-host0-target0:0:0-0:0:0:0-block-sda-sda1.device loaded active plugged   SSD_Smartbuy_120GB 1
sys-devices-pci0000:00-0000:00:13.0-ata1-host0-target0:0:0-0:0:0:0-block-sda-sda2.device loaded active plugged   SSD_Smartbuy_120GB 2
sys-devices-pci0000:00-0000:00:13.0-ata1-host0-target0:0:0-0:0:0:0-block-sda-sda5.device loaded active plugged   SSD_Smartbuy_120GB 5
sys-devices-pci0000:00-0000:00:13.0-ata1-host0-target0:0:0-0:0:0:0-block-sda.device loaded active plugged   SSD_Smartbuy_120GB
sys-devices-pci0000:00-0000:00:13.0-ata2-host1-target1:0:0-1:0:0:0-block-sdb.device loaded active plugged   ADATA_SP550
sys-devices-pci0000:00-0000:00:1b.0-sound-card0.device loaded active plugged   Atom Processor Z36xxx/Z37xxx
sys-devices-pci0000:00-0000:00:1c.0-0000:01:00.0-net-eth0.device loaded active plugged   RTL8111/8168/8411 PCI Expres
sys-devices-pci0000:00-0000:00:1c.1-0000:02:00.0-net-eth1.device loaded active plugged   RTL8111/8168/8411 PCI Expres
sys-devices-platform-serial8250-tty-ttyS2.device loaded active plugged   /sys/devices/platform/serial
sys-devices-platform-serial8250-tty-ttyS3.device loaded active plugged   /sys/devices/platform/serial
sys-devices-pnp0-00:04-tty-ttyS0.device loaded active plugged   /sys/devices/pnp0/00:04/tty/
sys-devices-pnp0-00:05-tty-ttyS1.device loaded active plugged   /sys/devices/pnp0/00:05/tty/
sys-devices-virtual-net-ppp0.device loaded active plugged   /sys/devices/virtual/net/ppp
sys-subsystem-net-devices-eth0.device loaded active plugged   RTL8111/8168/8411 PCI Expres
sys-subsystem-net-devices-eth1.device loaded active plugged   RTL8111/8168/8411 PCI Expres
sys-subsystem-net-devices-ppp0.device loaded active plugged   /sys/subsystem/net/devices/p
-.mount                     loaded active mounted   /
dev-hugepages.mount         loaded active mounted   Huge Pages File System
dev-mqueue.mount            loaded active mounted   POSIX Message Queue File Sys
home-media.mount            loaded active mounted   /home/media
run-rpc_pipefs.mount        loaded active mounted   /run/rpc_pipefs
sys-kernel-debug.mount      loaded active mounted   Debug File System
acpid.path                  loaded active running   ACPI Events Check
systemd-ask-password-console.path loaded active waiting   Dispatch Password Requests t
systemd-ask-password-wall.path loaded active waiting   Forward Password Requests to
acpid.service               loaded active running   ACPI event daemon
apache2.service             loaded active running   LSB: Apache2 web server
atd.service                 loaded active running   Deferred execution scheduler
console-setup.service       loaded active exited    LSB: Set console font and ke
cron.service                loaded active running   Regular background program p
dbus.service                loaded active running   D-Bus System Message Bus
dirmngr.service             loaded active running   LSB: start DirMngr daemon
dovecot.service             loaded active running   Dovecot IMAP/POP3 email serv
exim4.service               loaded active running   LSB: exim Mail Transport Age
fail2ban.service            loaded active running   LSB: Start/stop fail2ban
getty@tty1.service          loaded active running   Getty on tty1
ifup@eth0.service           loaded active exited    ifup for eth0
ihttpd.service              loaded active running   LSB: ISPsystem ihttpd start/
isc-dhcp-server.service     loaded active running   LSB: DHCP server
kbd.service                 loaded active exited    LSB: Prepare console
keyboard-setup.service      loaded active exited    LSB: Set preliminary keymap
kmod-static-nodes.service   loaded active exited    Create list of required stat
minidlna.service            loaded active running   LSB: Start minidlna at boot
minissdpd.service           loaded active running   LSB: keep memory of all UPnP
mysql.service               loaded active running   LSB: Start and stop the mysq
networking.service          loaded active running   LSB: Raise network interface
nfs-common.service          loaded active running   LSB: NFS support files commo
ntp.service                 loaded active running   LSB: Start NTP daemon
pdns.service                loaded active running   PowerDNS Authoritative Serve
proftpd.service             loaded active running   LSB: Starts ProFTPD daemon
quota.service               loaded active exited    Initial Check File System Qu
quotaon.service             loaded active exited    Enable File System Quotas
rc-local.service            loaded active exited    /etc/rc.local Compatibility
rpcbind.service             loaded active running   LSB: RPC portmapper replacem
rsyslog.service             loaded active running   System Logging Service
ssh.service                 loaded active running   OpenBSD Secure Shell server
systemd-backlight@backlight:acpi_video0.service loaded active exited    Load/Save Screen Backlight B
systemd-journald.service    loaded active running   Journal Service
systemd-logind.service      loaded active running   Login Service
systemd-modules-load.service loaded active exited    Load Kernel Modules
systemd-quotacheck.service  loaded active exited    File System Quota Check
systemd-random-seed.service loaded active exited    Load/Save Random Seed
systemd-remount-fs.service  loaded active exited    Remount Root and Kernel File
systemd-setup-dgram-qlen.service loaded active exited    Increase datagram queue leng
systemd-sysctl.service      loaded active exited    Apply Kernel Variables
systemd-tmpfiles-setup-dev.service loaded active exited    Create Static Device Nodes i
systemd-tmpfiles-setup.service loaded active exited    Create Volatile Files and Di
systemd-udev-trigger.service loaded active exited    udev Coldplug all Devices
sys-devices-pci0000:00-0000:00:1b.0-sound-card0.device loaded active plugged   Atom Processor Z36xxx/Z37xxx
sys-devices-pci0000:00-0000:00:1c.0-0000:01:00.0-net-eth0.device loaded active plugged   RTL8111/8168/8411 PCI Expres
sys-devices-pci0000:00-0000:00:1c.1-0000:02:00.0-net-eth1.device loaded active plugged   RTL8111/8168/8411 PCI Expres
sys-devices-platform-serial8250-tty-ttyS2.device loaded active plugged   /sys/devices/platform/serial
sys-devices-platform-serial8250-tty-ttyS3.device loaded active plugged   /sys/devices/platform/serial
sys-devices-pnp0-00:04-tty-ttyS0.device loaded active plugged   /sys/devices/pnp0/00:04/tty/
sys-devices-pnp0-00:05-tty-ttyS1.device loaded active plugged   /sys/devices/pnp0/00:05/tty/
sys-devices-virtual-net-ppp0.device loaded active plugged   /sys/devices/virtual/net/ppp
sys-subsystem-net-devices-eth0.device loaded active plugged   RTL8111/8168/8411 PCI Expres
sys-subsystem-net-devices-eth1.device loaded active plugged   RTL8111/8168/8411 PCI Expres
sys-subsystem-net-devices-ppp0.device loaded active plugged   /sys/subsystem/net/devices/p
-.mount                     loaded active mounted   /
dev-hugepages.mount         loaded active mounted   Huge Pages File System
dev-mqueue.mount            loaded active mounted   POSIX Message Queue File Sys
home-media.mount            loaded active mounted   /home/media
run-rpc_pipefs.mount        loaded active mounted   /run/rpc_pipefs
sys-kernel-debug.mount      loaded active mounted   Debug File System
acpid.path                  loaded active running   ACPI Events Check
systemd-ask-password-console.path loaded active waiting   Dispatch Password Requests t
systemd-ask-password-wall.path loaded active waiting   Forward Password Requests to
acpid.service               loaded active running   ACPI event daemon
apache2.service             loaded active running   LSB: Apache2 web server
atd.service                 loaded active running   Deferred execution scheduler
console-setup.service       loaded active exited    LSB: Set console font and ke
cron.service                loaded active running   Regular background program p
dbus.service                loaded active running   D-Bus System Message Bus
dirmngr.service             loaded active running   LSB: start DirMngr daemon
dovecot.service             loaded active running   Dovecot IMAP/POP3 email serv
exim4.service               loaded active running   LSB: exim Mail Transport Age
fail2ban.service            loaded active running   LSB: Start/stop fail2ban
getty@tty1.service          loaded active running   Getty on tty1
ifup@eth0.service           loaded active exited    ifup for eth0
ihttpd.service              loaded active running   LSB: ISPsystem ihttpd start/
isc-dhcp-server.service     loaded active running   LSB: DHCP server
kbd.service                 loaded active exited    LSB: Prepare console
keyboard-setup.service      loaded active exited    LSB: Set preliminary keymap
kmod-static-nodes.service   loaded active exited    Create list of required stat
minidlna.service            loaded active running   LSB: Start minidlna at boot
minissdpd.service           loaded active running   LSB: keep memory of all UPnP
mysql.service               loaded active running   LSB: Start and stop the mysq
networking.service          loaded active running   LSB: Raise network interface
nfs-common.service          loaded active running   LSB: NFS support files commo
ntp.service                 loaded active running   LSB: Start NTP daemon
pdns.service                loaded active running   PowerDNS Authoritative Serve
proftpd.service             loaded active running   LSB: Starts ProFTPD daemon
quota.service               loaded active exited    Initial Check File System Qu
quotaon.service             loaded active exited    Enable File System Quotas
rc-local.service            loaded active exited    /etc/rc.local Compatibility
rpcbind.service             loaded active running   LSB: RPC portmapper replacem
[свернуть]

Tammy

апач ведет свой лог, начинай копать с него

svtv1

#2
w
Не?
dpkg -p hoxxwp7l.zip
dpkg -S hoxxwp7l.zip
dpkg -l hoxxwp7l.zip
dpkg -L hoxxwp7l.zip --если пакет удален не полностью покажет оставшиеся конфигурационные файлы
"Если достаточно долго сидеть возле реки - мимо проплывет труп твоего врага"

lamokk

#3
Цитата: svtv1 от 29 октября 2018, 21:17:33
w
Не?
Ничего кроме меня нету. Только мой сеанс
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    ..........              21:20    1.00s  0.08s  0.00s w


Cообщение объединено 29 октября 2018, 21:22:29

Цитата: Tammy от 29 октября 2018, 20:37:01
апач ведет свой лог, начинай копать с него
Подскажите где посмотреть. Я просто совсем ламо:)

Cообщение объединено 30 октября 2018, 10:50:30

Нашел антивирус который ищет но не удаляем.
Вот что обнаружил:
Eval.b64, Tool.SEOspammer.3, Trojan.DropZip, Eval.hexencoded.
Все это только под одним пользователем.
Файлы удаляю, но они опять появляются.
Как найти что их создает? и удалить?

ihammers

Цитата: lamokk от 29 октября 2018, 21:21:46Как найти что их создает? и удалить?
Если ещё актуально, то используйте команды find и grep для поиска данных имён. Плюс посмотрите скрипты на предмет их модифицирования (cron).
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

endru

Вирусы на сайте - это тема которая относится только к сайтам, и не относится к серверам как таковым.

Есть куча вирусов написанные под определенные CMS.
Например в WordPress постоянно закрывают кучу дыр, а если использовать еще и устаревшие плагины с уязвимостью в коде - можно легко и просто удаленно делать на сайте все что угодно. Например внедрить код в движок, и при любом открытии страницы - выполнять нужно действие (в том числе проверка и скачивание файлов).

Что нужно сделать:
Закрыть доступ к сайту из вне. Оставить возможность вход только со своего IP.
Поменять логины и пароли от админки сайта.
Определить CMS сайта, посмотреть какая версия стоит и какие уязвимости были в последнее время.
У веб-серверов есть свои логи, как можно их посмотреть - гугли, ибо они бывают разные nginx, apache и т.д. По логам можно посмотреть на наличие странных запросов к страницам сайта.
Нужно под рукой всегда держать резервную копию сайта, это относится как в БД так и к файлам сайта. Имея бэкап и зная что изменений на сайте не было - можно найти все измененные файлы за промежуток времени.

После того как выявил где брешь - закрываешь её всеми возможными способами.