Необходим спец с ОПЫТОМ поиска и устранения вирусни.
Описание ситуации:
Проект laravel находится в docker контейнере.
Если зайти на сайт, даже не до конца настроенный (белый экран) - происходит отстукивание управляющему серверу и загружается "полезная" нагрузка - из-под пользователя www-data в /tmp/ загружается майнер и включается. Удаление самого майнера естественно результатов не приносит - через некоторое время он снова загружается. Скорее всего все это происходит автоматически, без участия "взломщиков".
С помощью ClamAV удалось найти только сам майнер.
С помощью falco удалось посмотреть на какие адреса происходит отстукивание, как идет процесс загрузки и запуска майнера, какие команды выполняются.
Однако не удалось определить из каких именно файлов php это происходит, не были считаны пакеты отправляемые и получаемые на сервер от управляющего сервера.
Напишите примерно план работ, как планируете найти и устранить угрозу, можно в общих мазках.
