Algo renomeia os arquivos para filename.ext.suspected

2

Eu experimentei um comportamento muito estranho em um servidor Debian. Este servidor executa muito site, a maioria deles CMS, principalmente WordPress.

E, às vezes, algo renomeia meus arquivos de wp-db.php para wp-db.php.suspected por exemplo.

E esses arquivos parecem limpos, são arquivos WP padrão. Nós temos ClamAV, chkrootkit, rkhunter e maldet instalados. Eu pensei primeiro ClamAV faz isso, mas depois de fazer uma varredura com a mão não encontrou nada, mais os arquivos são renomeados na hora, e o ClamAV não é um AV residente, então ...

Alguém já viu tal coisa antes ou tem uma ideia do que pode causar isso?

Algumas pesquisas com o Google descobriram que não sou o primeiro a ter esse problema. Isso acontece com vários sistemas e CMS diferentes, o que me faz pensar que é o sistema.

Obrigado pela sua ajuda antecipadamente.

    
por vdavid 12.01.2016 / 10:22

1 resposta

2

Instale o WordFence no WordPress e veja se ele encontra algum arquivo WordPress não original. De acordo com este tópico, parece que o seu servidor foi comprometido:

link

Veja também aqui:

link

Você deve verificar seus registros (aumentar os níveis de log, se necessário) e descobrir quem está acionando essas coisas. Com o Fail2Ban você pode banir automaticamente os hackers com base no comportamento deles.

    
por 12.01.2016 / 14:58