所以我的客户服务器感染了恶意软件。基本上服务器上的任何 index.php 文件以及 header.php、function.php 都被感染了。感染似乎主要是 wordpress 网站,尽管该帐户中也驻留着其他类型的网站。
黑客似乎在名为“..”的文件中生成了某种类型的“密钥”。即使该文件被删除,也会在几分钟内恢复。(可能是 10 或 15 分钟)。我已经使用一些脚本清理了所有我发现的受感染文件。
这是我的问题,我假设如果我能在服务器上找到重新生成“..”文件的文件,我认为这也会引导我找到感染源。但我想知道的是,我如何才能真正追踪到它?
我在想也许可以跟踪 SSH 中的日志或其他东西,看看是否能显示一些信息,但我不太确定。我知道我想找到感染点并将其删除,然后才能彻底重新清理服务器。现在 - 我只是在照看重新生成的“..”文件。
关于如何挖掘出这一点,您有什么想法吗?
答案1
要跟踪文件夹修改,您可以打开问题位置的审核来记录活动。
右键单击问题文件夹的属性“安全”选项卡“高级审核”添加所有人和文件创建。
这应该有助于您追踪问题,日志将记录在 Windows 安全日志中。
您可能需要在安全模式下使用 msconfig 进行更多病毒扫描等操作并禁用所有非 Microsoft 服务。然后在进行完整病毒扫描后尝试运行 Microsoft 恶意软件删除工具,并且可能需要启用 Windows 防火墙作为保护措施的一部分来对抗此问题。