Я веду учетную запись клиента на хост-платформе [цвет]. Это учетная запись VPS под управлением ОС CENTOS 6.10 kvm [server] v84.0.16. Есть сайты PHP / MySQL, а также сайты WordPress. Все сайты / плагины / темы WordPress - последние версии.
Происходит постоянный взлом. Индикаторы представляют собой модифицированные файлы wp-config.php и index.php (WP) со вставленным кодом (запутанным); [случайные] .php файлы, скрытые файлы ICO, разбросанные по всем папкам (WP и не-WP). Обфусцированный код «включает» скрытый файл ICO. Скрытый файл ICO содержит обфусцированный код, который пытается вставить код в нижний колонтитул сайта WP, но терпит неудачу, поскольку ссылки на параметры в коде не существуют на сайтах WP.
К измененным файлам часто добавляется разрешение на выполнение (например, файл index.php). Я удаляю это разрешение во время очистки, но файл был изменен. Большинство файлов обычно имеют разрешение 644; папок 755.
Измененные файлы появляются снова после полной проверки и очистки всех файлов, включая просмотр баз данных, используемых сайтами (я обнаружил несколько вставленных WP «сообщений» в базе данных wp-posts; они были удалены). Измененные файлы не имеют текущей даты; дата всегда где-то в прошлом. Поэтому поиск недавно измененных файлов не работает. Очистка включает в себя редактирование файлов и удаление запутанного кода, изменение прав доступа к файлам и удаление неавторизованных файлов (например, скрытых файлов ICO и [случайных] файлов .php).
Нет дополнительных пользователей уровня администратора WP (или любого другого уровня). Я изменил учетные данные на платформе хостинга, всех базах данных, всех пользователях FTP и базе данных SQL; надежные (и разные) пароли.
Я использовал команды htaccess, чтобы запретить доступ к файлу wp-config.php (и другим), но файлы все еще изменяются без авторизации.
Я не вижу никаких очевидных процессов, запущенных на сервере (у меня есть терминальный доступ через WHM), хотя мой опыт работы с Linux чуть выше минимального. Я также не вижу необычных имен пользователей с этой командой: getent passwd | egrep -v '/s?bin/(nologin|shutdown|sync|halt)' | cut -d: -f1
Я думаю, что определение того, кто (или что) модифицирует файлы, может дать мне представление о том, как происходят несанкционированные изменения файлов. Итак, я ищу руководство о том, как отслеживать изменения в конкретном файле (скажем, файле wp-config.php на одном из сайтов WP) с информацией о том, кто / что его изменил.
Что бы вы посоветовали для дальнейшего изучения этого вопроса? Спасибо.
Добавлено
Все файлы: владелец = 500, группа = 503