Examinando os logs de apache atopo uns erros 404 a un ficheiro «r57.php». Polo visto este é un coñecido script PHP ruso que compromete o servidor web permitindo o upload de ficheiros, descarga de ficheiros, spam relay, control das SQL, ...
Para eliminar este shellScript dun servidor infectado pódese executar os seguintes comandos:
1 2 3 |
find /var/www/ -name "*.php" -type f -print0 | \ xargs -0 grep r57 | uniq -c | sort -u | \ cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq |
Tamén se pode agochar baixo extensión gif ou txt (entre outras). Outro shellScript coñecido é c99, podendo eliminalo co seguinte comando:
1 2 3 |
find /var/www/ -name "*.php" -type f -print0 | \ xargs -0 grep c99 | uniq -c | sort -u | \ cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq |
