我的是 Ubuntu VPS,我的所有网站都是基于 CMS(Drupal、Wordpress 等)的,通过 index.php 运行。
我的帐户被黑客入侵过好几次,攻击者利用一些漏洞,放置并执行 php 文件。这些黑客并不具有破坏性,但他们想通过重定向到 Google 中的不同 URL 或悄无声息地发送垃圾邮件来悄悄滥用我的帐户。
所以我只想查看每天或每月一次在 Web 服务器帐户 (www-data) 中运行的 php 可执行文件的列表。有办法吗?
我通过阅读 Apache access.log 文件并使用 HTTP 代码 200 来查找此类文件。
还有更好的方法吗?
(我希望 Serverfault 是提出这个问题的最佳场所,否则我会删除它并将其发布到其他地方)
答案1
我不认为你想知道全部PHP 文件,只是恶意文件。Linux 恶意软件检测是一个很好的工具。
当然,你真的应该做的是保护您的服务器。保持所有内容最新,删除不必要的模块/插件,强化 WordPress以及 Drupal 等等。