답변:
높은 메일 대기열을 생성하는 홈 디렉토리를 찾습니다.
grep 'cwd=/home' /var/log/exim_mainlog | awk '{print $3}' | cut -d / -f 3 | sort -bg | uniq -c | sort -bg
PHP 파일의 여러 POST 작업이 해당 홈 디렉토리 아래의 사이트에서 발생하는지 확인하십시오. 그렇다면 파일을 확인하고 의심스러운 파일을 잠그십시오. 특정 IP 주소 인 경우 IP를 차단하십시오.
grep POST /usr/local/apache/domlogs/<homedirectory>/* | grep PHP | grep 200
대부분의 감염된 파일에서 "패턴 1"을 발견했습니다.
패턴 1
grep -irl "GLOBALS.*eval" . | xargs ls -la | grep php
패턴 2
grep -irl "Array.*eval" . | xargs ls -la | grep php
패턴 2는 PHP 파일과 압축 된 jquery 파일에서 일반적입니다. 그러나이 패턴은 일부 감염된 파일에서도 발견됩니다. 따라서 각 파일을 열고 악성 코드 유무를 확인해야합니다.
패턴 3 (가짜 jQuery 삽입)
grep -irl "jQuery.min.php" . | xargs ls -la
jQuery.min.php에 대한 상세 정보 Malware : https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html