Итак, у меня есть клиентский сервер, зараженный вредоносным ПО. Практически любой файл index.php на сервере был заражен, как и header.php, function.php. Заражение, по-видимому, происходит в первую очередь на сайтах wordpress, хотя в учетной записи находятся и другие типы сайтов.
Взлом, кажется, генерирует какой-то «ключ» в файле с именем «..». Этот файл, даже если он был удален, возвращается в течение нескольких минут. (возможно, 10-15 минут). Я пошел дальше и вылечил все зараженные файлы, которые я нашел, с помощью скриптов.
Вот мой вопрос, я предполагаю, что если я смогу найти файл (ы), которые воспроизводят файл (ы) ".." обратно на сервере, я думаю, это тоже приведет меня к источнику заражения. Но вот что я хотел бы знать: как я могу это отследить?
Я думал, может быть, следить за журналами в SSH или что-то еще, чтобы увидеть, покажет ли это мне что-то, но я не совсем уверен. Я знаю, что хотел бы найти точку заражения и удалить ее, прежде чем мне придется выполнять полную очистку сервера. Щас - я просто нянчился с возрожденными ".." файлами.
Есть мысли о том, как я могу это выкопать?
Чтобы отслеживать изменения папки, вы можете включить аудит проблемных мест, чтобы регистрировать активность.
Щелкните правой кнопкой мыши свойства в проблемной папке. Вкладка «Безопасность» расширенный аудит добавляет всех и создание файла.
Это должно помочь вам отследить проблему, журналы будут записаны в журнал безопасности Windows.
Возможно, вы захотите выполнить дополнительное сканирование на вирусы и т. Д. В безопасном режиме, используя msconfig и отключив все службы, отличные от Microsoft. Затем попробуйте запустить средство удаления вредоносных программ microsoft после полного сканирования на вирусы и, возможно, захотите включить брандмауэр Windows как часть вашей защиты для решения этой проблемы.