Я имею дело с проблемным сервером LAMP, на котором работают Apache 2.2, MySQL 5.1 и PHP 5.2.7 (работает как никто), и большинство его сайтов используют уязвимые версии известных скриптов, таких как Joomla, Wordpress и т. Д.
Это довольно глупый подход - который не в моих руках - но поскольку сайты сильно настроены в ядре, обновление их скриптов до последних версий не является решением для клиента, но я не могу продолжать эту миссию поиска и уничтожения навсегда. Итак, я надеюсь найти способ отслеживать вновь созданные файлы и их источник, например abc.php, созданный xyz.php
Я уверен, что первое возможно, но не уверен, что второе.
Было бы здорово, если бы вы могли поделиться своими идеями по этому поводу.
P.S. : Так как сайтов сотни, поменять конфигурацию довольно сложно. Хотя это правильное решение, к сожалению, это не то решение, которое я ищу.
Входная дверь открыта в метель, а вы застряли, убирая пинцетом снег.
На самом деле нет особого смысла в очистке, если вы не можете защитить систему. Это пустая трата вашего времени и усилий.
Инструменты мониторинга целостности файлов могут сказать вам, что изменилось, но, если вы не устраните фактические дыры в безопасности, вредоносные файлы вернутся на место, как только вы их удалите.
Вместо этой бессмысленной борьбы вам нужны более эффективные механизмы безопасности. Если вы не можете обновить код, убедитесь, что HTTP-запросы безопасны, с помощью брандмауэра веб-приложений. Затем сражайтесь, чтобы обновить код еще раз.
Но не просто устанавливайте инструмент мониторинга целостности файлов и очищайте его каждый раз, когда он предупреждает вас - эти инструменты предназначены для того, чтобы убедиться, что у вас нет нарушения безопасности, а не для того, чтобы показать вам, насколько серьезным является ваше нарушение сегодня. Вы знаете, что эта система взломана - прежде всего довести его до состояния, в котором его нет.