Вирус congenital

Congenital вирус, как бороться

Недавно пришлось бороться с вирусом, подсаженным на сервер через один из сайтов. К сожалению вычислить каким образом был занесен вирус так и не получилось, поэтому просто расскажу как я с ним боролся.

Началось все с того, что процессор был загружен на 100% несколько часов подряд. Это насторожило, и первым делом я установил соединение с сервером по ssh и посмотрел, что же нагружает сервер:

htop

htop — это аналог top, диспетчера задач, более удобный. Вывод показал мне несколько процессов со странным названием Congenital — которое меня сразу насторожило. Причем запущен процесс был из папки одного сайта.  Каким образом он туда попал — неизвестно. Но скорее всего из-за уязвимости в одном из плагинов, версии которых были уже морально устаревшими (вовремя обновляйте свои плагины!)

Как бороться с вирусом congenital:

1. Первым делом убиваем процесс:

ps aux | grep congenital #смотрим pid процесса(ов)
kill PID #pid - 4 или 5-значное число как правило, зависит от системы

Если процессов несколько — методично убиваем командой kill каждый процесс

2. Далее — смотрим записи cron:

crontab -l

У меня на сервере все сайты распределены по отдельным пользователям и соответственно у каждого пользователя свой файл с cron. Для того чтобы посмотреть cron нужного пользователя нужно залогиниться под его учеткой на сервере.
3. После того как мы нашли запись крон, удаляем:

crontab -e

Crontab -e позволяет открыть файл на редактирование (будет предложен выбор нужного редактора).
Удаляем строку с запуском congenital.

Можно конечно и не удалять — если файлов нет — то крон не сможет ничего запустить, но если у вас установлен exim, то возможно что у вас будет создаваться масса frozen-писем, так как крон по умолчанию отправляет уведомления на почту при неудачном запуске. И если письма не будут доходить — они будут становиться в очередь и их будет ооочень много…

4. Чтобы удалить очередь замороженных писем достаточно одной команды:

exiqgrep -o 0 -i | xargs exim4 -Mrm

Вирус прячется под видом плагина с одноименным названием, поэтому удалить его не составит труда.

Скачать файлы с вирусом congenital

 

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *