我的ClamAV扫描不断在我的Apache日志中find这个例子:YARA.eval_post.UNOFFICIAL
有谁知道这是什么,该怎么办?
我试图联系yararules.com的人,但我没有听到任何回报。
我的日志条目如下所示:
160.202.162.212 – – [13 / Jul / 2017:05:53:12 -0400]“GET / HTTP / 1.1”503 299“ – ”“} __ test | O:21:”JDatabaseDriverMysqli“:3:{s :4:\ “\ 0 \ 0 \ 0A \”,O:17:\ “JSimplepieFactory \”:0:{} S:21:\ “\ 0 \ 0 \ 0disconnectHandlers \”;一个:1:{I: 0; A:2:{I 0,O:9:\ “了SimplePie \”:5:{S:8:\ “消毒\”,O:20:\ “JDatabaseDriverMysql \”:0:{} S: 5:\ “caching\”; b:1; S:19:\ “cache_name_function \”; S:6:\ “断言\”; S:10:\ “的javascript \”; I:9999; S:8: \ “FEED_URL \”; S:54:\ “的eval(BASE64_DECODE($ _ POST [111])); JFactory ::得到();出口; \”;} I:1; S:4:\ “INIT \” ;}} S:13:\ “\ 0 \ 0 \ 0connection \”; I:1;} \ XF0 \ x9d \ x8c \ X86"
适用的Yara规则说这个:
规则eval_post {string:$ =“eval(base64_decode($ _ POST”$ =“eval($ undecode($ tongji))”$ =“eval($ _ POST”条件:其中任何一个}