Para começar, certifique-se de que seus arquivos .php e .html NÃO sejam graváveis pelo uid executado pelo servidor da web. O servidor da Web precisa de permissões de leitura e execução nos arquivos e diretórios, mas (possivelmente com algumas exceções, como diretórios de upload) ele não precisa de acesso de gravação aos dados que deveria estar atendendo.
Em seguida, grep all os arquivos do seu site (por exemplo, grep -ir pattern /var/www/
) para algo específico desse malware. esse URL reinserido é uma boa escolha: grep -ir 'http://www.theorchardnursinghome.co.uk' /var/www/
Infelizmente, é possível que a maior parte da carga do ataque seja codificada com base64 ou similar, então o grep pode não encontrar nada.
na falta disso, o grepping para os arquivos que ele está modificando pode funcionar - por exemplo, grep para header.php
- se ele grava em header.php, há uma chance razoável de que o nome do arquivo seja (esperançosamente não codificado) em algum lugar no script de ataque.
grep seus arquivos de registro da web para as mesmas coisas.
Se seus atacantes conseguiram ganhar raiz em seu servidor, há infinitas possibilidades de eles esconderem o que estão fazendo. Mas verifique, pelo menos, os crontabs do sistema, incluindo o crontab do root.
BTW, isso provavelmente pertence a Falha do servidor em vez de aqui. Ou talvez em webmasters