我在Debian服务器上经历了一个非常奇怪的行为。 这台服务器运行了很多网站,其中大部分是CMS,主要是WordPress。
有时某些东西将我的文件从wp-db.php重命名为wp-db.php.suspected。
而这些文件似乎是干净的,他们是标准的WP文件。 我们安装了ClamAV,chkrootkit,rkhunter和maldet。 我以为第一次ClamAV会导致它,但手动扫描后,没有发现任何东西,再加上文件在飞行中重命名,而ClamAV不是一个驻地AV所以…
有没有人看过这样的事情,或有一个想法是什么原因造成的?
有些用Googlesearch我发现我并不是第一个有这个问题的人。 它发生了很多不同的系统和CMS,这使我认为这是系统。
提前谢谢你的帮助。
在WordPress中安装WordFence,看看它是否发现任何非原创的WordPress文件。 按照这个线程,这听起来像你的服务器已经被入侵:
https://wordpress.org/support/topic/link-templatephpsuspected/page/2
另见这里:
https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected
你应该检查你的日志(如果需要,增加日志级别),并找出谁触发了这些事情。 使用Fail2Ban,您可以根据自己的行为自动禁止黑客。