Поймать бекдор laravel в docker на debian 12

20 000 руб. за проект
04 ноября 2024, 11:26 • 15 откликов • 68 просмотров
Необходим спец с ОПЫТОМ поиска и устранения бекдоров.

Описание ситуации:
Проект laravel находится в docker контейнере.
Если зайти на сайт, даже не до конца настроенный (белый экран) - происходит отстукивание управляющему серверу и загружается "полезная" нагрузка - из-под пользователя www-data в /tmp/ загружается майнер и включается. Удаление самого майнера естественно результатов не приносит - через некоторое время он снова загружается. Скорее всего все это происходит автоматически, без участия "взломщиков".
С помощью ClamAV удалось найти только сам майнер.
С помощью falco удалось посмотреть на какие адреса происходит отстукивание, как идет процесс загрузки и запуска майнера, какие команды выполняются.
Однако не удалось определить из каких именно файлов php это происходит, не были считаны пакеты отправляемые и получаемые на сервер от управляющего сервера.

Напишите примерно план работ, как планируете найти и устранить угрозу, можно в общих мазках.