所以我有一个感染恶意软件的客户端服务器。 基本上服务器上的任何index.php文件都受到感染,以及header.php,function.php。 感染似乎主要是WordPress的网站,虽然其他types的网站驻留在帐户以及。
hack似乎在名为“..”的文件中生成某种types的“密钥”。该文件即使被删除,也会在几分钟内返回。 (大概10或15分钟)。 我已经提前清理了一些脚本中find的受感染的文件。
这里是我的问题,我假设如果我能find重新生成服务器上“..”文件的文件,我想这也会导致我感染的源头。 但是我想知道的是,我怎么才能真正追踪到这一点呢?
我想可能是在SSH或什么东西看日志,看看是否会显示我的东西,但我不太确定。 我知道我想find感染点,并删除之前,我必须做一个完整的服务器reclean。 现在 – 我只是宝宝坐着重生的“..”文件。
任何想法如何我可以挖掘出来?
要追踪文件夹修改,您可以打开审核问题位置以logging活动。
右键单击问题文件夹的属性安全选项卡高级审计添加每个人和文件创build。
这应该有助于你追踪这个问题,日志会被logging在Windows安全日志中。
您可能想要使用msconfig在安全模式下执行更多病毒扫描等,并禁用所有非微软服务。 然后尝试在完全病毒扫描后运行Microsoft恶意软件删除工具,并可能希望启用Windows防火墙作为保护的一部分,以解决此问题。