так что один из моих друзей был взломан и попросил меня о помощи
у этого парня был один общий хост и он загрузил около 20 веб-сайтов на этот хост, и один из них был взломан, и теперь все они полны оболочек
так что это происходит сегодня, поэтому я попросил список файлов, которые были созданы или изменены на сервере, так что я получил список что-то вроде ниже
имя оболочки accesson.php впервые появляется в
./etc/assets/images/accesson.php
и чем в
./tmp/assets/images/accesson.php
log:
./etc
./etc/newsss.com
./etc/shsh.com
./etc/nck.com
./etc/pvf.com
./etc/pvf.com/@pwcache/info
./etc/lck.com
./etc/assets
./etc/assets/images
./etc/assets/images/accesson.php
./tmp
./tmp/assets
./tmp/assets/images
./tmp/assets/images/accesson.php
./mail
./mail/new
./mail/tmp
./mail/assets
./mail/assets/images
./mail/assets/images/accesson.php
./public_html
./public_html/images/2017/01/162210999.jpg.CROP_.cq5dam_web_1280_1280_jpeg-280x200.jpg
./public_html/wp-content/plugins
./public_html/.ftpquota
./public_html/backlinks/error_log
./public_html/app/images
./public_html/app/images/css_sprites.png
./public_html/app/index.php
./public_html/assets
./public_html/assets/images
./public_html/assets/images/accesson.php
./public_ftp
./public_ftp/assets
./public_ftp/assets/images
./public_ftp/assets/images/accesson.php
./irso.com
./irso.com/.ftpquota
./irso.com/wp-content/plugins
./irso.com/wp-content/themes
./irso.com/assets
./irso.com/assets/images
./irso.com/assets/images/accesson.php
./ncl2.com
./ncl2.com/assets
./ncl2.com/assets/images
./ncl2.com/assets/images/accesson.php
./cache
./cache/assets
./cache/assets/images
./cache/assets/images/accesson.php
./ssl
./ssl/assets
./ssl/assets/images
./ssl/assets/images/accesson.php
./efr.com
./efr.com/.ftpquota
./efr.com/assets
./efr.com/assets/images
./efr.com/assets/images/accesson.php
кажется, что accesson.php распространен по всем каталогам. Интересно, что он создан со своим каталогом /assets/images/ даже в tmp
так что я подумал, что с тех пор, как он впервые появился в ./tmp, он должен быть загружен через какую-то ошибку, так как все загруженные файлы сначала идут в ./tmp, но как насчет этого ./etc? его еще до ./tmp .... так что я подумал, может быть, есть связь между 2?
Я ценю любое предложение