php - 如何检查在 Linux 上上传恶意文件的方式和时间？

Question

我遇到了一些恶意文件不断出现在我的 WordPress 文件夹中的问题，我不知道它们来自哪里。我的大多数插件都是流行的，我也更新了所有插件和word press。

我刚刚删除了用于发送垃圾邮件的恶意文件，但几个小时后，一个新文件出现在随机文件夹中。

我的问题是:如何找到它的上传方式？我检查了:cPanel 日志、/var/logs/messages 中的 FTP 日志以及我域的 WHM 访问日志。

它们都没有显示任何特定文件名的出现。

有什么想法吗？

Answer 1

这些文件可能是由恶意脚本上传的。您应该检查您的 php/apache 访问日志并查找您不认识的文件。我看到黑客上传的脚本看起来像是 wordpress 核心的一部分，但实际上，这些文件让他们可以为所欲为。

遵循简单的步骤。如果一个失败，则进行下一个。

1. 查看你的 apache/php 日志
2. 检查您的主文件夹/上传的任何 *.php/*.js(或任何其他不规则)文件。
3. 检查 wordpress 管理面板中是否有其他用户。
4. 删除所有插件并进行全新安装，而不仅仅是更新它们。
5. 进行干净的 wordpress 安装。 (也来自源代码，而不仅仅是更新)。

确保您更改了存储在 wp-config.php 中的所有密码，因为黑客可以访问它，并且他们可以进入您的数据库并再次入侵您的网站。