Tệp bị tấn công sẽ tạo lại bất cứ khi nào tệp bị xóa - ubuntu/apache2

Vừa có một trang web bị tấn công bởi Sucuri

Có một số tệp PHP cửa hậu bị gắn cờ mà tôi ĐÃ có thể xóa

Tuy nhiên, tệp index.php có một liên kết spam được chèn vào cuối tệp.

Tôi đã thử xóa nó - nó KHÔNG hoạt động, nhưng tệp sẽ được tạo lại ngay lập tức.

Tôi đã thử thay đổi quyền (được đặt thành -rw-r--r-- www-data:www-data) để root và chỉnh sửa tệp - nó ngay lập tức thay đổi trở lại các quyền trên khi lưu và chỉnh sửa của tôi là Không còn

Sucuri hiện đang gắn cờ trang web là sạch, tức là không còn cửa hậu NHƯNG rõ ràng có thứ gì đó vẫn đang làm điều này.

Máy chủ cũng có rất nhiều trang web khác trên đó và không có trang nào trong số này bị xâm phạm (dù sao cũng rõ ràng) - và do đó, có vẻ như một thứ gì đó trong thư mục của trang web cụ thể này chịu trách nhiệm.

Có cách nào để theo dõi CÁI GÌ đang thao túng tệp index.php để theo dõi vấn đề được tạo ra từ đâu không? Bất kỳ ý tưởng khác? (Khác với việc bắt đầu lại từ đầu, điều mà tôi CÓ THỂ làm được, nhưng không dễ dàng).

Mọi đầu vào đều được chào đón - cảm ơn!

Với cờ truy cập 644, lệnh ghi đến từ tài khoản người dùng, giả sử apache. Có lẽ bạn có thể chơi một trò lừa trên APT đang ẩn nấp.

Thực hiện một động thái điên rồ để cung cấp tập tin này 406 (r-----wr-) và sử dụng tài khoản từ người khác nhóm để chỉnh sửa tập tin. Nếu thay đổi vẫn còn, thiết lập kiểm tra truy cập tập tin, trở lại quyền thành 644 và xem.

Nếu tệp thay đổi mặc dù có quyền 406, APT của bạn có thể có quyền truy cập root và bạn nên bắt đầu xây dựng lại. Nó không phải là máy chủ của bạn nữa.

Chúc may mắn và chúc mừng cho việc dọn dẹp bạn đã làm cho đến nay...