Назад | Перейти на главную страницу

Что-то переименовывает файлы в filename.ext.suspected

Я испытал очень странное поведение на сервере Debian. На этом сервере работает множество веб-сайтов, большинство из них - CMS, в основном WordPress.

А иногда что-то переименовывает мои файлы, например, из wp-db.php в wp-db.php.suspected.

И эти файлы вроде бы чистые, это стандартные файлы WP. У нас установлены ClamAV, chkrootkit, rkhunter и maldet. Я думал, что сначала это вызывает ClamAV, но после сканирования вручную ничего не нашел, к тому же файлы переименовываются на лету, а ClamAV не является резидентным AV, так что ...

Кто-нибудь видел такое раньше или имеет представление о причинах этого?

При поиске в Google я обнаружил, что я не первый, у кого есть такая проблема. Это происходит с множеством различных систем и CMS, что заставляет меня думать, что это система.

Заранее благодарю за вашу помощь.

Установите WordFence в WordPress и посмотрите, найдет ли он какие-либо неоригинальные файлы WordPress. Согласно этой теме, похоже, что ваш сервер был взломан:

https://wordpress.org/support/topic/link-templatephpsuspected/page/2

Также смотрите здесь:

https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected

Вы должны проверить свои журналы (при необходимости увеличить уровни журналов) и выяснить, кто запускает эти вещи. С помощью Fail2Ban вы можете автоматически банить хакеров на основании их поведения.