我在 [color]host 平台上管理一个客户托管帐户。这是一个 VPS 帐户,运行 CENTOS 6.10 kvm [server] v84.0.16 操作系统。有 PHP/MySQL 网站,还有 WordPress 网站。所有 WordPress 网站/插件/主题都是最新版本。
黑客攻击一直在持续进行。指标包括修改后的 wp-config.php 和 index.php (WP) 文件,其中插入了代码(经过混淆);[random].php 文件,隐藏的 ICO 文件散布在所有文件夹(WP 和非 WP)中。混淆的代码会“包含”隐藏的 ICO 文件。隐藏的 ICO 文件包含混淆的代码,该代码试图在 WP 站点的页脚中插入代码,但会失败,因为代码引用的选项在 WP 站点中不存在。
修改后的文件通常会添加执行权限(例如 index.php 文件)。我在清理时删除了该权限,但文件已更改。大多数文件的权限通常为 644;文件夹的权限为 755。
在全面检查和清理所有文件(包括查看网站使用的数据库)后,修改后的文件再次出现(我在 wp-posts 数据库中发现了一些插入的 WP“帖子”;它们已被删除。)。修改后的文件没有当前日期;日期总是过去的某个时间。因此,查找最近修改的文件是行不通的。清理包括编辑文件和删除混淆代码、更改文件权限以及删除未经授权的文件(如隐藏的 ICO 文件和 [random].php 文件)。
没有额外的 WP 管理员级用户(或任何其他级别)。我已更改托管平台、所有数据库、所有 FTP 用户和 SQL 数据库上的凭据;始终使用强密码(且不同)。
我已经使用 htaccess 命令拒绝访问 wp-config.php 文件(及其他文件),但这些文件仍然被未经授权修改。
虽然我的 Linux 专业知识还只是略微偏向于最低限度,但我没有看到服务器上有任何明显的进程在运行(我可以通过 WHM 访问终端)。我也没有看到任何不寻常的用户名在执行此命令:getent passwd | egrep -v '/s?bin/(nologin|shutdown|sync|halt)' | cut -d: -f1
我认为确定谁(或什么)正在修改文件可能会为我提供一些线索,让我了解未经授权的文件更改是如何进行的。因此,我正在寻找有关如何监控特定文件(例如,WP 网站之一中的 wp-config.php 文件)的更改的指导,以及有关谁/什么更改了它的信息。
您对进一步调查此问题有何建议?谢谢。
添加
所有文件:所有者 = 500,组 = 503