Examinando los logs de apache encuentro unos errores 404 a un fichero «r57.php». Por lo visto este es un conocido script PHP ruso que compromete el servidor web permitiendo el upload de ficheros, descarga de ficheros, spam relay, control de las SQL, ...
Para eliminar este shellScript de un servidor infectado se puede executar el siguiente comando:
1 2 3 |
find /var/www/ -name "*.php" -type f -print0 | \ xargs -0 grep r57 | uniq -c | sort -u | \ cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq |
También se puede esconder bajo extensión gif, jpeg o txt, con lo que habría que cambiar la sentencia find. Otro shellScript conocido es c99, que se elimina con el siguiente comando:
1 2 3 |
find /var/www/ -name "*.php" -type f -print0 | \ xargs -0 grep c99 | uniq -c | sort -u | \ cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq |
