web-dev-qa-db-ja.com

何かがファイルの名前をfilename.ext.suspectedに変更します

Debianサーバーで非常に奇妙な動作を経験しました。このサーバーは多くのウェブサイトを実行しており、そのほとんどがCMS、主にWordPressです。

そして時々何かが私のファイルを例えばwp-db.phpからwp-db.php.suspectedにリネームします。

そして、これらのファイルはクリーンであるように見えます、それらは標準的なWPファイルです。ClamAV、chkrootkit、rkhunter、およびmaldetがインストールされています。最初にClamAVが原因だと思いましたが、手動でスキャンした後、何も見つからず、ファイルはその場で名前が変更され、ClamAVは常駐AVではないので...

誰かがそのようなことを以前に見たことがありますか、それを引き起こすことができるものがあるという考えを持っていますか?

グーグルで検索している人の中には、私がそのような問題を抱えている最初の人ではないことがわかりました。それは多くの異なるシステムやCMSで起こり、それがシステムだと思います。

よろしくお願いします。

malwarerename
3
vdavid

WordFenceをWordPress=にインストールし、オリジナルではないWordPressファイルが見つかるかどうかを確認します。このスレッドによると、サーバーが危険にさらされているようです:

https://wordpress.org/support/topic/link-templatephpsuspected/page/2

こちらもご覧ください:

https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected

ログを確認し(必要に応じてログレベルを上げる)、これらの原因を特定します。 Fail2Banを使用すると、ハッカーの行動に基づいて自動的に禁止することができます。

2
JayMcTee