Amazon의 내 GuardDuty 관리 콘솔에 내 서버가 맬웨어에 감염되었다고 표시됩니다.
"EC2 인스턴스 i-7e1d4356은 알고리즘으로 생성된 도메인을 쿼리하고 있습니다. 이러한 도메인은 일반적으로 맬웨어에 의해 사용되며 손상된 EC2 인스턴스를 나타낼 수 있습니다."
문의하는 중입니다fkg2f0c33okxznr2nknk7jdhaozrz2ul.com
액세스 로그를 확인한 결과 "SQL 삽입 시도" 항목이 발견되었습니다.
79.174.12.136 - - [25/Mar/2019:15:30:45 +0000] "GET /company/registration.php?pid=211111111111111111111111111'%20UNION%20SELECT%20(select%20CONCAT(CHAR(91,88,93),count(*),CHAR(91,88,93))%20FROM%20psytest.transactions%20)%20--%20%20 HTTP/1.1" 200 5086 "-" "-"
79.174.12.136 - - [28/Mar/2019:11:02:27 +0000] "GET /company/registration.php?pid=211111111111111111111111111'%20UNION%20SELECT%20(select%20CONCAT(CHAR(91,88,93),count(*),CHAR(91,88,93))%20FROM%20psytest.mail_templates%20)%20--%20%20 HTTP/1.1" 200 58 "-" "-"
저는 이 IP 79.174.12.136을 차단했고 지난 4시간 동안 더 이상 시도가 없었습니다.
하지만 거기에 악성 코드가 없는지 확인하고 싶습니다. 어떻게 조사하고 수정합니까?
누구든지 지침을 제공해 줄 수 있습니까?