有些東西正在將 php 文件重命名為 .php.suspected；我試圖找出什麼

有關的：

• https://serverfault.com/questions/748417/something-renames-files-to-filename-ext-suspected
• https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected

我有一個執行 linux 的虛擬主機伺服器的客戶遇到了這個問題。它不是Wordpress 站點，儘管他確實在同一台伺服器上執行 Wordpress 站點。

我們都意識到了這個問題，並且其中一些文件確實包含惡意軟體​​內容 - 但是，也有一些誤報，它們正在影響網站的執行（通過使包含文件不可讀），所以他要求我跟踪確定已安裝軟體的哪一部分正在執行此操作並阻止它。

麻煩的是，我不能 100% 確定導致重命名的原因以及原因。我懷疑clamav / amavis，因為它在他們的權限範圍內，但cron我沒有真正想到每週掃描的可能原因……

使用文件更改審計機制，例如LoggedFS或 Linux 的審計子系統。另請參閱如何確定哪個程序正在創建文件？,記錄每個 SUID 程序的每次呼叫？,用 Auditd 01 打敗笨蛋…

假設伺服器執行 Linux，審計系統看起來是最好的解決方案。在相關目錄樹中記錄所有文件重命名操作，例如/var/www：

auditctl -a exit,always -S rename -F dir=/var/www

審核日誌通常位於/var/log/audit/audit.log. cd /var/www; mv foo bar這是來自上述規則的範例日誌：

type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669):  cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE

引用自：https://unix.stackexchange.com/questions/351085