Cómo detener un bucle sin fin (malicioso)

Navega tus respuestas
1

Hace unos días, alguien intentó descifrar mi sitio con un ataque de inclusión remota de archivos.
El servidor de seguridad de la aplicación web bloqueó el ataque, pero tenía curiosidad por el archivo.
Así que lo descargué comencé a examinarlo.

En primer lugar, el archivo se elimina a sí mismo:
unlink($_SERVER['SCRIPT_FILENAME'])

Luego comienza un bucle interminable a la espera de órdenes de un chat irc: 

do{
   //awaiting orders and executing them
}while(1)

Me preguntaba: si alguna vez me infecto con algo como esto:

  1. ¿Cómo puedo detectar la infección? ¿Tengo que confiar en mi sistema de seguridad de hosting?
  2. ¿Cómo puedo detener eso? Es un bucle sin fin cargado en la memoria. ¿Debo pedirle a mi hosting que reinicie el servicio o que mate mi proceso de php?
pregunta tampe125 02.04.2013 - 10:47
fuente

2 respuestas

2

Ponerse en peligro nunca es una buena sensación. Ese bucle sin fin es un proceso. Cada proceso tiene una identificación de proceso. Si no tiene acceso ssh (y supongo que no), intente encontrar el ID de proceso mediante un script PHP: 

php system("ps aux");

Localice el nombre del archivo, por ejemplo, php endless_loop.php , que se encuentra en la última columna de la lista devuelta. En la segunda columna se encuentra la identificación del proceso. Cuando tenga el ID de proceso, todo lo que tiene que hacer es ejecutar otro script: 

php system("kill proccess_id");
    
respondido por el HEX 02.04.2013 - 12:37
fuente
0

  1. Dado que los troyanos intentan conectarse a un servidor IRC externo, se conectará a un servidor externo. Netstat te ayudaría para identificar conexiones sospechosas. Además, el troyano intenta parecerse al proceso del sistema, chkrootkit sería más útil en lugar de usar ps.

  2. Si encontró el troyano, puede seguir los consejos de HEX para finalizar un proceso. Tenga en cuenta que una instalación completa sería más apropiada para un sistema comprometido.

respondido por el neo 02.04.2013 - 12:46
fuente

Lea otras preguntas en las etiquetas

Confundido sobre la forma más relevante de proteger mis API ¿Método de instalación remota simple y seguro que acepte entradas a través de una página web?