Tengo un Apache VPS de GoDaddy con Wordpress y el tema Enfold. Ambos están actualizados, no se han instalado complementos adicionales.
El servidor con frecuencia es hackeado y el código PHP malicioso se inyecta en la estructura del archivo. Esos archivos envían toneladas de correos electrónicos.
No sé dónde / cómo ingresan los atacantes al sitio web. Todas las contraseñas han sido cambiadas. Configuré la siguiente regla iptable
-A INPUT -p tcp -m tcp -m multiport ! --dports 20,21,80,443,1030,2083,2086,2087
para bloquear todos los puertos que no sean necesarios para el uso y desarrollo del sitio web. (1030 es SSH)
Además, el sitio web está utilizando la WAF de cloudflare ...
¿Hay alguna forma de escribir un script de bash que controle todas las conexiones entrantes al servidor, a qué puerto y archivo accedió y lo registra? Así que la próxima vez que se inyecten archivos, puedo seguir la solicitud en este momento y ver qué conexiones / IP / servicio se usaron.
Gracias por cualquier ayuda para resolver el problema. Lo ideal sería que no solo quisiera saber cómo bloquear los ataques, sino también cómo se llevan a cabo y qué vulnerabilidades están utilizando. Como el hackeo está enviando correos electrónicos solo, y no necesitamos nada por el momento, puedo deshabilitar fácilmente el servidor de correo electrónico. De esta manera puedo probar diferentes enfoques y observar el ataque más a menudo para comprender lo que realmente está sucediendo.
¡Gracias!