Undersøk nylig endrede filer
Se om det er noen mistenkelige endringer gjort de siste 10 dager
find -mtime -10 -lsGitt at installasjonen ikke er oppdatert de siste 10 dager er det mistenkelig med endrede filer. Sett bort ifra upload mappa.
Søk etter php-filer i uploads mappa
Fordi uploads mappa typisk er skrivbar havner malware ofte her.
find wp-content/uploads/ -iname '*.php'Filintegritet
For å undersøke om noen av kjernefilene til wordpress-installasjonen er blitt endret kan du sammenligne med en ren kopi.
# Gå til installasjonsmappa
cd /var/www/foo.com
# Last ned wordpress
git clone https://github.com/wordpress/wordpress cleancopy
# Gå inn i mappa
cd cleancopy
# Sjekk ut samme versjon som er installert
git checkout 4.9.1
# Gå en mappe opp
cd ..
# Sammenlign alle filer
diff -r wordpress/wp-admin/ cleancopy/wp-admin/
diff -r wordpress/wp-includes/ cleancopy/wp-includes/