Что я сделал
cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>
Я поймал один из PHP "дропперов" в медовом горшочке, похожем на WordPress. Злоумышленники получили доступ, угадав пароль - перебором, без взлома.
PHP совершенно обычный. Он не делает ничего необычного, он не вызывает eval
, или preg_replace
, или даже base64_decode
. На самом деле, на уровне PHP вы ничего не можете сделать для защиты от кода в "дроппере".
Если вы можете удержать злоумышленников от угадывания вашего WordPress или Joomla или любого другого пароля, и держать все в актуальном состоянии, и вам повезет, если у вас не будут установлены взламываемые плагины или код сторонних разработчиков, вы должны быть в состоянии избежать Mayhem.
Обновление PHP на моем сервере Ubuntu помешает вредоносной программе Mayhem Malware попасть на сервер, помешает ее запуску или что-то еще?
По моему прочтению этого и еще нескольким вещам, нет. Несмотря на то, что PHP используется в развертывании, он не является уязвимостью в интерпретаторе PHP. Он может использовать ошибки в конкретном коде PHP (например, Wordpress), но обновление интерпретатора не исправит это; эти проблемы должны быть идентифицированы и исправлены в коде приложения. Похоже, что он действительно нацелен на уязвимые места в apache и nginx, но если это так, то вряд ли для них еще есть исправления. На странице новостей nginx или apache уязвимостей нет ничего (явного).