Всем, Привет!
Мини статейка, надеюсь будет кому-нибудь полезна!)
И буду рад комментариям специалистов в этой области (если поправите меня или дополните)!
Делал не за один день (как раз были праздники) - поэтому мог что то подзабыть.
По работе приходится работать с сайтами на разных CMS. Но почему то так получается, что вирусы в основном обнаруживаются на 1С Битрикс системах. Обычно просто файлы в каталоге сайта меняются, добавляются, но этот взлом, для меня, оказался чем то новеньким.
Данные:
Выделенный сервер.
Ubuntu-16.04,
Php 7.2, режим работы CGI.
Очередная проблема клиента - не открывается страница админки - пишет ошибку - нет достаточных прав для доступа к такому то и такому то файлу (скрины к сожалению не делал). Просканировал серверным антивирусом ImunifyAV (ex. Revisium) - тот выдал 26 зараженных файлов!
Вирусные файлы оказались в cgi-bin каталоге - поторопился, удалил, даже не посмотрев(.
Файлы htaccess вот с таким содержанием в каждом каталоге первого уровня и дочерних (1го уровня).
Ладно, это все почистил, поудалял код встроенный в bitrix/prolog и т.п.
НО два файла в bitrix/admin - .htaccess и index.php не хотели удаляться)
их удаляешь а они появляются да еще и с правами 444.
В htaccess -ах не разбираюсь, но насколько понимаю содержание - это разрешение для файлов (кто знает - поправьте плиз).
Ну, а индексный файл, конечно же, содержал очень сложный для понимания код. Кто хоть раз видел вирусные файлы - понимает.
Просканировав еще раз антивирусом - он выдал только эти два файла.
Понятно что какой то процесс добавляет эти файлы.
Начал гуглить как выяснить какой процесс и вообще какие утилиты использовать.
В итоге сначала посмотрел процессы с помощью ps (встроенной утилиты).
ps -efH
И нашел интересный процесс запущенный пользователем этого домена, датой предполагаемой поломки сайта:
php -f /var/www/...пользователь.../data/www/...домен.../httpd.conf
Посмотрел в каталоге - такого файла нет, погуглил - это файл для апача, устаревший подход. Подумал что можно попробовать остановить процесс.
Установил утилиту htop
sudo apt install htop
Посмотрел процессы с ее помощью (намного удобней чем ps), командой:
htop
И убил этот процесс F9 ->SIGKILL
Сразу же проверил результат - админка работает, файлы удалились (изменились). Всё вроде ГУУД!
Как эта команда (php -f /var/www/...пользователь.../data/www/...домен.../httpd.conf) воздействовала - для меня осталось загадкой - кто шарит, прошу подсказать.
Ну и всё на этом, спасибо за внимание!)
