最近我的基于 php 的网站感染了恶意软件(可能是被盗的 ftp 密码)。
基本上,每 30 分钟上传一个文件 frame_cleaner_php.php,对其执行 HTTP-GET 以执行它,然后将其删除。我能够截获该文件的副本并对其进行分析。
它没有以任何方式混淆,并且很容易阅读。
本质上,它递归地扫描所有 php 文件,寻找 20 个常见其他恶意软件(如<?php eval(base64_decode("or <?PHP # Web Shell by oRb)感染的签名,并粗略地删除带有该感染的行。
由于误报,我自己的 php 文件中的某些行被删除,导致网站关闭。这可能只是恶意软件的意外副作用。
最大的问题:恶意软件为什么会这样做,有什么好处?
在我看来有两种解释。
为盒子而战
不同的恶意软件类型希望单独拥有该盒子,而不是与他人共享。因此,它会尝试修补系统并删除其他恶意软件,并为创建者留下后门。
道德蠕虫
仅传播以修补和删除其他恶意软件的恶意软件通常被称为“白色蠕虫”或“道德蠕虫”。这些类型的蠕虫有很多责任问题,因此它们通常很少见。
扩展卡拉克斯的答案:
因为一个盒子的感染越多,感染的机会(至少一个)就越高,如果盒子被擦除/清理,恶意软件的游戏就结束了。
因此,通过清理其他感染和/或修补系统,恶意软件正试图保持其自身的存在。
一些恶意软件作者属于不喜欢其他恶意软件作者的群体。这有点像一支球队不喜欢另一支球队;他们都希望看到足球的进步,但他们不希望其他球队在发生这种情况时在那里。
这里有一些很好的答案,我希望我可以补充。
要了解原因,您必须意识到受感染的 Web 服务器对感染它的人具有货币价值。它可以出租用于各种活动,包括路由流量、托管其他站点、分发垃圾邮件、DDoS 等。
如果服务器有多个感染,这意味着它被共享,一个人可能正在使用它来托管恶意软件,但另一个人可能正在使用它来执行分布式拒绝服务攻击 (DDoS) 攻击。如果其中一个人将 IP 列入黑名单,那么对另一个人来说就没用了。
除此之外,还会从盒子中删除漏洞和其他恶意软件,因此您要么删除其他人,要么他们将您删除,您将失去对盒子的控制权。