Iemand ervaring met een vrij nasty stukje malware wat zich een backdoor lijkt te hebben genesteld in cpanel?
er verschijnen php files “index.php” en php files met willekeurige lettercombinaties op diverse plaatsen. Daarnaast worden diverse (willekeurige) bestanden (in plugins maar ook wpconfig) voorzien van additionele code.
Alle database en andere passwords gewijzigd en middels wordfence alles er overal uitgesloopt maar het blijft terugkeren. Cpanel virusscan lijkt ook weinig te vinden.

Meest geziene indicatie in wordfence = backdoor known as qd5f27f0

iemand hier ervaring mee? Enig idee hoe ik cpanel schoonkrijg? Iemand die dit (tegen vergoeding uiteraard) kan opknappen?

Dit lijkt vrij recente Wordpress malware te zijn. Alle meldingen die ik zie zijn specifiek voor WP en van de laatst 1 - 2 maanden.

Maak je wellicht gebruik van Ultimate Member? Daar zat laatst een fout in waardoor hackers hun eigen code konden uploaden naar een site.

Toevallig net zelf ook druk mee, lijkt er op dat ik de hele server opnieuw moet installeren want het is een hardnekkige biatch. https://forum.vestacp.com/viewtopic.php?t=16718

Heb iig deze te pakken:

Multios.Trojan.CryptocoinMiner-6448864-1 &
Unix.Malware.Agent-6624242-0

Heb je wel maldet /clamav draaien op je server?

(Overigens moet je maldet d/l van frxn.com (http://www.rfxn.com/downloads/maldetect-current.tar.gz) , maar als ik daar naartoe ga krijg ik een Trojan waarschuwing van Malwarebytes, dunno what's going on, mssn is juist maldet wel compromised? Kan er nog niks over vinden zo gauw)

Inderdaad stond er op 1 van de sites ultimate member, dat lijkt idd ook de bron te zijn en vrij recent inderdaad.
Dank voor de tips ook en heb ik nog wat te zoeken maar ik ben al bijna zover om de zaak opnieuw te installeren want wat ik zo kan vinden verder gaat het om “advanced malware” en ik loop liever geen risicos

Probeer het eens met Wordfence.

Als je FileZilla gebruikt: meteen verwijderen! Inclusief userdata en programdata. Daarna pas je FTP-wachtwoorden veranderen. Filezilla slaat je wachtwoorden niet veilig op. Als je PC geinfecteerd is, dan weten ze zo je FTP-gegevens te achterhalen. Dan kun je aan je website sleutelenw at je wilt maar dat houdt dan nooit op. Gebruik liever WinSCP, dat slaat de FTP-gegevens achter een encrypted hoofdwachtwoord op.

Origineel gepost door Arjen Zijlstra

(Overigens moet je maldet d/l van frxn.com (http://www.rfxn.com/downloads/maldetect-current.tar.gz) , maar als ik daar naartoe ga krijg ik een Trojan waarschuwing van Malwarebytes, dunno what's going on, mssn is juist maldet wel compromised? Kan er nog niks over vinden zo gauw)

En ja hoor:

Code:

/home/beheer/maldetect-current.tar.gz: Php.Exploit.C99-23 FOUND
/home/beheer/maldetect-current.tar.gz: Removed.
/home/beheer/maldetect-1.6.3/files/sigs/rfxn.yara: Php.Exploit.C99-23 FOUND
/home/beheer/maldetect-1.6.3/files/sigs/rfxn.yara: Removed.

Dus, het meestgebruikte (één van de) anti-malware progjes bevat C99 - da's wel nieuws dacht ik; kan er verder nog niks over lezen -- Tjeerd dit is ws waar jij ook last van hebt

kijk, niet raar dus dat ik er ook niet helemaal uitkom ;-) inmiddels bezig om de sites 1 voor 1 over te zetten naar een andere server. Dan de primaire server de nek omdraaien en opnieuw opzetten. Laat ik het maar scharen onder ondernemersrisico ;-)

Wat een onzin, Maldet is niet geïnfecteerd met een trojan. Overigens kon je die infectie gewoon weg krijgen zonder herinstallatie wat ik ook aangeboden heb.

Zou me niet verbazen als je de malware mee aan het overzetten bent overigens.

Lekker mekaar bang zitten maken hier.

Het was op een clean install, enige wat ik heb gedownload was die current.tar.gz van rfxn.com die inmiddels ook geblocked is door Chrome. Maak er van wat je wilt