我在一台 Debian 服务器上遇到了非常奇怪的行为。这台服务器运行着很多网站,其中大部分是 CMS,主要是 WordPress。
有时某些东西会将我的文件从 wp-db.php 重命名为 wp-db.php.suspected。
这些文件似乎很干净,它们是标准的 WP 文件。我们安装了 ClamAV、chkrootkit、rkhunter 和 maldet。我以为首先是 ClamAV 导致了这个问题,但手动扫描后没有发现任何东西,而且文件在运行中被重命名,而 ClamAV 不是常驻 AV,所以...
有人见过这样的事情吗?或者知道是什么原因造成的吗?
用 Google 搜索了一下,我发现我不是第一个遇到这个问题的人。很多不同的系统和 CMS 都遇到过这种情况,这让我认为是系统的问题。
提前谢谢你的帮助。
答案1
在 WordPress 中安装 WordFence,看看它是否能找到任何非原始 WordPress 文件。根据此线程,听起来您的服务器已被入侵:
https://wordpress.org/support/topic/link-templatephpsuspected/page/2
另请参见此处:
https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected
您应该检查日志(如果需要,增加日志级别)并找出触发这些事件的人。然后,使用 Fail2Ban,您可以根据黑客的行为自动禁止他们。