كود غريب في كافة ملفات php على السيرفر
السلام عليكم ..
وجدت سبام غير طبيعي من خلال السيرفر، تواصلت مع الشركة واخبروني بمصدر السبام، الغريب انه لا يوجد احد غيري يدير الموقع.
ايضاً لاحظت اختفاء بعض الملفات من السيرفر، ظننت ان المشكلة من خلال سيرفر قواعد البيانات mysql، بعد الفحص واستعادة باك اب، عمل الموقع بدون مشاكل، لاحظت شيء غريب وهو وجود مثل هذا الكود في كافة ملفات php على السيرفر
لا ادري اذا مرت على احد نفس المشكلة؟؟
البحث عن مصدر اللسبام بسيرفرك
اهلا وسهلا بك اخوي
ببساطة يمكنك معرفة مصدر spam من خلال تنفيذ الأمر التالي من الشيل
كود:
grep cwd=\/home\/ /var/log/exim_mainlog | cut -d' ' -f3 | sort -n | uniq -c; grep X-PHP-Script /var/spool/exim/input/*/*-H | awk '{print $3}' | sort | uniq -c | sort -nr;
سيعرض اليك هذا الكود مسارات الارسال وبجوار كل مسار ستجد عدد الايميلات بالشكل التالي
كود:
1 cwd=/home/alel
1 cwd=/home/all/vb
4 cwd=/home/dall/vb
59 cwd=/home/fol/vb
239 cwd=/home/kml/vb
1 cwd=/home/ml/vb
60 cwd=/home/prl
105460 cwd=/home/protvntyfourteen
14 cwd=/homic
2 cwd=/home/shml/vb
24 cwd=/home/sese
4690 cwd=/home/bbe
هذا على سبيل المثال وستجد ان أكبر مسار يصدر منه ايميلات حسب المذكور اعلاه هو
كود:
105460 cwd=/home/protvntyfourteen
توجه لهذا المسار وقم بفحص كافة ملفات البرمجة .php ان وجدت واحذف الملفات التي لا تعرفها
يجب عليك فحص سيرفرك باستخدام maldet
لمعرفة المزيد عن كيفية تنصيبه واعداده اتبع الشرح في الرابط التالي
http://www.traidnt.net/vb/traidnt2024488/