Я испытал очень странное поведение на сервере Debian. На этом сервере работает множество веб-сайтов, большинство из них - CMS, в основном WordPress.
А иногда что-то переименовывает мои файлы, например, из wp-db.php в wp-db.php.suspected.
И эти файлы вроде бы чистые, это стандартные файлы WP. У нас установлены ClamAV, chkrootkit, rkhunter и maldet. Я думал, что сначала это вызывает ClamAV, но после сканирования вручную ничего не нашел, к тому же файлы переименовываются на лету, а ClamAV не является резидентным AV, так что ...
Кто-нибудь видел такое раньше или имеет представление о причинах этого?
При поиске в Google я обнаружил, что я не первый, у кого есть такая проблема. Это происходит с множеством различных систем и CMS, что заставляет меня думать, что это система.
Заранее благодарю за вашу помощь.
Установите WordFence в WordPress и посмотрите, найдет ли он какие-либо неоригинальные файлы WordPress. Согласно этой теме, похоже, что ваш сервер был взломан:
https://wordpress.org/support/topic/link-templatephpsuspected/page/2
Также смотрите здесь:
https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected
Вы должны проверить свои журналы (при необходимости увеличить уровни журналов) и выяснить, кто запускает эти вещи. С помощью Fail2Ban вы можете автоматически банить хакеров на основании их поведения.