Meu console de gerenciamento GuardDuty na Amazon mostra que meu servidor está infectado com malware:
"A instância EC2 i-7e1d4356 está consultando domínios gerados por algoritmos. Esses domínios são comumente usados por malware e podem ser uma indicação de uma instância EC2 comprometida"
Está consultandofkg2f0c33okxznr2nknk7jdhaozrz2ul.com
Verifiquei o log de acesso e encontrei essas entradas "tentativa de injeção de SQL"
79.174.12.136 - - [25/Mar/2019:15:30:45 +0000] "GET /company/registration.php?pid=211111111111111111111111111'%20UNION%20SELECT%20(select%20CONCAT(CHAR(91,88,93),count(*),CHAR(91,88,93))%20FROM%20psytest.transactions%20)%20--%20%20 HTTP/1.1" 200 5086 "-" "-"
79.174.12.136 - - [28/Mar/2019:11:02:27 +0000] "GET /company/registration.php?pid=211111111111111111111111111'%20UNION%20SELECT%20(select%20CONCAT(CHAR(91,88,93),count(*),CHAR(91,88,93))%20FROM%20psytest.mail_templates%20)%20--%20%20 HTTP/1.1" 200 58 "-" "-"
Bloqueei este IP 79.174.12.136 e nas últimas 4 horas não houve mais tentativas.
No entanto, quero ter certeza de que não há nenhum malware aí... Como investigar e corrigir isso?
Alguém pode fornecer alguma orientação, por favor?