Наша система предупредила меня о том, что в каталоге / tmp была обнаружена оболочка PHP. Во-первых - я хотел бы знать, как он мог попасть сюда и почему он оказался здесь - есть ли способ, которым PHP может быть запущен на этом уровне?
Во-вторых, он каким-то образом был загружен через установку WordPress - отследить, как это произошло, будет непросто, но есть ли у кого-нибудь общее представление о том, как это могло быть? На сайте нет общедоступных форм загрузки.
Спасибо, Крис.
Вы не упомянули, где ваша папка tmp относительно корневого веб-сайта, но во многих отношениях это не имеет значения. Может ли там выполняться PHP? Это зависит от конфигурации apache вашего / вашего веб-хоста. Как он туда попал? Опять же, это предположение, но:
Что касается того, откуда он взялся, журналы веб-сервера - очевидное место для начала поиска. Вы ищете запросы, которые не подходят для обычного трафика. Например. страна исходного IP-адреса, какие ресурсы GET'd или POST'd.
Кроме того, если у вас нет надежного способа убедиться, что ваш сайт не был взломан другими способами, вы почти наверняка захотите восстановить свою последнюю заведомо исправную резервную копию.
Удачи