ما چند سایت میزبانی شده در سرور Media Temple (MT) داریم. امروز صبح، متوجه شدیم که برخی از وب سایت ما پایین آمده است. پس از بررسی، منتشر شد که آنها به خطر افتاده اند. ساختار دایرکتوری برای MT به شرح زیر است: domains> DOMAIN-NAME> html (aka root root).
در سطح DOMAIN-NAME، یک فایل با نام Meuhy.php را مشاهده کردیم. پشتیبانی MT گفت که به نظر می رسد مانند نوعی مدیر بسته مخرب است. من یک جستجوی گوگل برای این فایل انجام دادم، اما من چیزی را پیدا نکردم که بتواند منبع آن را شناسایی کند. با این حال، متوجه شدم که آن را در سایر وب سایت ها تزریق کرده اید: https://www.google.com/search؟q=meuhy.php&oq=m&aqs=chrome.4.69i60l4j69i59j69i60.5768j0j7&sourceid=chrome&ie=UTF-8
در ریشه وب، متوجه شدیم که کد وردپرس به فایلهای index.php تزریق شده است، با این حال، همه سایتهای ما به جز یکی از سایتهای دروپال هستند. ما همچنین کشف کردیم که مجموعه ای از فایل های xml ایجاد شده است. آنها چیزی شبیه به مجموعه ای از تماس های سرور بودند. ما استفاده از GPU را بررسی کردیم و متوجه شدیم که این فایل ها تولید شده اند. گوگل آنالیته ما همچنین نشان می دهد که ترافیک در طول این زمان غیرمعمول رخ داده است.
پرسش اصلی من این است که آیا هر کسی می داند چه نوع حمله ای است و آیا باید نگران باشیم که پایگاه داده های ما به خطر افتاده باشد؟
