Amazon の GuardDuty 管理コンソールに、サーバーがマルウェアに感染していることが示されています。
「EC2 インスタンス i-7e1d4356 は、アルゴリズムで生成されたドメインをクエリしています。このようなドメインはマルウェアによってよく使用され、侵害された EC2 インスタンスの兆候である可能性があります」
クエリ中ですfkg2f0c33okxznr2nknk7jdhaozrz2ul.com
アクセスログを確認したところ、「SQLインジェクションの試み」というエントリが見つかりました
79.174.12.136 - - [25/Mar/2019:15:30:45 +0000] "GET /company/registration.php?pid=211111111111111111111111111'%20UNION%20SELECT%20(select%20CONCAT(CHAR(91,88,93),count(*),CHAR(91,88,93))%20FROM%20psytest.transactions%20)%20--%20%20 HTTP/1.1" 200 5086 "-" "-"
79.174.12.136 - - [28/Mar/2019:11:02:27 +0000] "GET /company/registration.php?pid=211111111111111111111111111'%20UNION%20SELECT%20(select%20CONCAT(CHAR(91,88,93),count(*),CHAR(91,88,93))%20FROM%20psytest.mail_templates%20)%20--%20%20 HTTP/1.1" 200 58 "-" "-"
この IP 79.174.12.136 をブロックしましたが、過去 4 時間、それ以上の試行はありませんでした。
しかし、そこにマルウェアが存在しないことを確認したいのですが... どのように調査して修正すればよいでしょうか?
どなたかアドバイスをいただけませんか?