Meine GuardDuty-Verwaltungskonsole auf Amazon zeigt, dass mein Server mit Malware infiziert ist:
„Die EC2-Instanz i-7e1d4356 fragt algorithmisch generierte Domänen ab. Solche Domänen werden häufig von Malware verwendet und könnten ein Hinweis auf eine kompromittierte EC2-Instanz sein.“
Es fragtfkg2f0c33okxznr2nknk7jdhaozrz2ul.com
Ich habe das Zugriffsprotokoll überprüft und diese Einträge gefunden: „Versuch einer SQL-Injection“
79.174.12.136 - - [25/Mar/2019:15:30:45 +0000] "GET /company/registration.php?pid=211111111111111111111111111'%20UNION%20SELECT%20(select%20CONCAT(CHAR(91,88,93),count(*),CHAR(91,88,93))%20FROM%20psytest.transactions%20)%20--%20%20 HTTP/1.1" 200 5086 "-" "-"
79.174.12.136 - - [28/Mar/2019:11:02:27 +0000] "GET /company/registration.php?pid=211111111111111111111111111'%20UNION%20SELECT%20(select%20CONCAT(CHAR(91,88,93),count(*),CHAR(91,88,93))%20FROM%20psytest.mail_templates%20)%20--%20%20 HTTP/1.1" 200 58 "-" "-"
Ich habe diese IP 79.174.12.136 blockiert und in den letzten 4 Stunden gab es keinen weiteren Versuch.
Ich möchte jedoch sicher sein, dass sich dort keine Schadsoftware befindet. Wie kann ich das Problem untersuchen und beheben?
Kann mir bitte jemand einen Rat geben?