Найдите домашний каталог (ы), который создает очередь высокой почты
grep 'cwd=/home' /var/log/exim_mainlog | awk '{print $3}' | cut -d / -f 3 | sort -bg | uniq -c | sort -bg
Определите местонахождение, если какая-либо многократная операция POST любого файла PHP происходит на сайте под этим определенным домашним каталогом. Если да, проверьте файл и заблокируйте его, если он окажется подозрительным. Также заблокируйте IP, если он от определенного.
grep POST /usr/local/apache/domlogs/<homedirectory>/* | grep PHP | grep 200
Я обнаружил «шаблон 1» в большинстве зараженных файлов.
Образец 1
grep -irl "GLOBALS.*eval" . | xargs ls -la | grep php
Образец 2
grep -irl "Array.*eval" . | xargs ls -la | grep php
Шаблон 2 распространен в файлах PHP и сжатых файлах jquery. Но этот шаблон также встречается в некоторых зараженных файлах. Итак, вы должны открыть каждый файл и проверить, присутствует ли вредоносный код или нет.
Шаблон 3 (поддельные инъекции JQuery)
grep -irl "jQuery.min.php" . | xargs ls -la
Подробная информация о вредоносном ПО jQuery.min.php:https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html