Обезвредить вирус и закрыть дыры

ОПИСАНИЕ ЗАДАЧИ:

Имеется инстанс на Amazon Web Services, на котором висит пачка сайтов (Wordpress, Prestashop, Drupal). До августа, на этом инстансе жил вирус, который захватил доступ вплоть до рутовского и подменял содержимое страниц хостящихся веб-сайтов. После переустановки в августе, на сервере было настроено, чтобы каждый веб-сайт имел доступ только к своей директории / БД и запускался от отдельного юзера, после чего подмена содержимого страниц сайтов вроде бы прекратилась.

ХРОНОЛОГИЯ СОБЫТИЙ:

ОКТЯБРЬ 2017

В октябре стали получать от Амазона вот такие абузы:

Your Instance has been implicated in activity that resembles a Denial of Service attack against remote hosts.

Logs:

Protocol: UDP

Remote IP: 45.32.85.10

Remote port(s): 80

Total bytes sent: 621648842

Total packets sent: 779986

Total bytes received: 0

Total packets received: 0

За два дня октября, с нашего сервера было отправлено 2.5 терабайта исходящего трафика. 

Это было остановлено слишком радикальными мерами, а именно, запретом любого исходящего трафика по протоколу UDP через iptables.

Однако при этом отвалилась часть функциональности наших сайтов, связанная с получением данных из Интернета.

НОЯБРЬ 2017

На сервере был произведен поиск вирусов в домашних директориях сайтов. Было найдено и закрыто огромное количество дыр. Дыры в основном были сделаны по типу, когда вирусня дописывает свой обфусцированный код через eval() или exec() вверх какого-то php-скрипта.

После этого проблема вроде бы прекратилась, и исходящий трафик через UDP был открыт.

ДЕКАБРЬ 2017

В середине декабря от Amazon пришла абуза:

We've received a report(s) that your AWS resource(s) has been implicated in activity which resembles attempts to access remote hosts on the internet without authorization. Activity of this nature is forbidden in the AWS Acceptable Use Policy (https://aws.amazon.com/aup/). We've included the original report below for your review.

Reported-From: [email protected]

Report-Type: harvesting

Service: mail

Port: 25

Schema-URL: http://www.blocklist.de/downloads/schema/info_0.1.1.json

Attachment: text/plain

2017-12-13 20:23:17 dovecot_login authenticator failed for ec2-23-23-90-195.compute-1.amazonaws.com (yourpascal.com) [23.23.90.195]:55315: 535 Incorrect authentication data (set_id=x@x)

2017-12-13 20:23:24 dovecot_login authenticator failed for ec2-23-23-90-195.compute-1.amazonaws.com (yourpascal.com) [23.23.90.195]:55319: 535 Incorrect authentication data (set_id=x@x)

>>>

А пару дней тому пришла снова вроде бы поборенная в октябре абуза:

Your Instance has been implicated in activity that resembles a Denial of Service attack against remote hosts.

Logs:

Protocol: UDP

Remote IP: 54.64.60.5

Remote port(s): 80

Total bytes sent: 173364958

Total packets sent: 215093

Total bytes received: 0

Total packets received: 0

После чего, во избежание дальнейшего выжирания трафика, опять была включена влокировка исходящего трафика с сервера по протоколу UDP.

ЧТО НУЖНО ОТ ВАС:

Найти и обезвредить вирус, чтобы он больше не слал с сервера ничего и не выжирал трафик.