O meu é o Ubuntu VPS e todos os meus sites são baseados em CMS (Drupal, Wordpress, etc) que são executados através do index.php.
Minha conta foi hackeada várias vezes usando alguns exploits colocando um arquivo php e executando-o. Esses hackers não são destrutivos, mas querem usar minha conta silenciosamente, redirecionando para URLs diferentes no Google ou enviando spam silenciosamente.
Então, eu só quero ver a lista de executáveis php sendo executado na conta do servidor Web (www-data) uma vez por dia ou mês. Existe uma maneira?
Eu conheço um lendo os arquivos apache access.log e usando o código HTTP 200 para encontrar esses arquivos.
Existe alguma maneira melhor?
(Espero que o Serverfault seja o melhor lugar para fazer essa pergunta, caso contrário, vou deletar e postar em qualquer outro lugar)
Eu não acho que você queira encontrar todos os arquivos PHP, apenas os maliciosos. O Linux Malware Detect é uma boa ferramenta para isso.
Claro, o que você realmente deve estar fazendo é proteger seu servidor. Mantenha tudo atualizado, remova módulos / plugins desnecessários, endureça o WordPress e o Drupal, etc.
Tags ubuntu web-server