Ho un VPS Apache di GoDaddy con Wordpress e il tema Enfold. Entrambi sono aggiornati, non sono installati plug-in aggiuntivi.
Il server viene spesso violato e il codice PHP dannoso viene iniettato nella struttura del file. Quei file inviano tonnellate di email.
Non so dove / come gli hacker entrano nel sito. Tutte le password sono state cambiate Ho impostato la seguente regola iptable
-A INPUT -p tcp -m tcp -m multiport ! --dports 20,21,80,443,1030,2083,2086,2087
per bloccare tutte le porte non necessarie per l'utilizzo e lo sviluppo del sito web. (1030 è SSH)
Inoltre, il sito Web utilizza il WAF cloudflare ...
C'è un modo per scrivere uno script bash che monitora tutte le connessioni in entrata al server, quale porta e file hanno accesso e lo registra? Quindi la prossima volta che i file vengono iniettati posso seguire la richiesta in questo momento e vedere quali connessioni / IP / servizio sono stati usati.
Grazie per qualsiasi aiuto per risolvere il problema. Idealmente non vorrei solo sapere come bloccare gli attacchi ma anche come vengono condotti e quali vulnerabilità stanno usando. Dato che l'hack invia e-mail e non abbiamo bisogno di exim al momento, posso facilmente disabilitare il server di posta elettronica. In questo modo posso provare diversi approcci e osservare l'attacco più spesso per capire cosa sta realmente accadendo.
Grazie!