Eu experimentei um comportamento muito estranho em um servidor Debian. Este servidor executa muito site, a maioria deles CMS, principalmente WordPress.
E, às vezes, algo renomeia meus arquivos de wp-db.php para wp-db.php.suspected por exemplo.
E esses arquivos parecem limpos, são arquivos WP padrão. Nós temos ClamAV, chkrootkit, rkhunter e maldet instalados. Eu pensei primeiro ClamAV faz isso, mas depois de fazer uma varredura com a mão não encontrou nada, mais os arquivos são renomeados na hora, e o ClamAV não é um AV residente, então ...
Alguém já viu tal coisa antes ou tem uma ideia do que pode causar isso?
Algumas pesquisas com o Google descobriram que não sou o primeiro a ter esse problema. Isso acontece com vários sistemas e CMS diferentes, o que me faz pensar que é o sistema.
Obrigado pela sua ajuda antecipadamente.
Instale o WordFence no WordPress e veja se ele encontra algum arquivo WordPress não original. De acordo com este tópico, parece que o seu servidor foi comprometido:
Veja também aqui:
Você deve verificar seus registros (aumentar os níveis de log, se necessário) e descobrir quem está acionando essas coisas. Com o Fail2Ban você pode banir automaticamente os hackers com base no comportamento deles.