Богдан Герасименко, спасибо, согласен, нужно разносить сайты по аккаунтам. Кстати это помогло, атака повторилась и снова пострадал теперь уже один из сайтов, хоть стало ясно какой.
В логах кстати обнаружил странность, на сайте нет такого плагина (и папки), а в ответ с кодом 200 стоял
Спасибо большое, на сервере поддержка как раз запускала данный антивирус, но это уже диагностика последствий, может помочь определить даты изменения файлов и сами файлы. А перенос сайтов разным пользователям (1 сайт - 1 пользователь) решит данную проблему или всё равно с open_basedir стОит посмотреть?
IvanMogilev, Согласен, спасибо, но и в примере указан бесплатный плагин Wordfence, через который в их случае происходил взлом. Как лечить понятно, вот как найти дыру - нет.
Роман Мирр, Это главный файл сайта index.php (в его начале - начало профилирования, в конце - соответственно завершение), т.е. полностью все функции, которые используются. Правильно я понимаю, что условно 10 таких сайтов будут занимать уже Гб, в этом и проблема. что 100Мб это много?
Начал xhprof, вот такая примерно картина по одной странице, но что-то выявить прям конкретного виновника не получается, на сайте wordpress + elementor (визуальный редактор):
Overall Summary
Total Incl. Wall Time (microsec): 18,780,780 microsecs
Total Incl. CPU (microsecs): 10,446,483 microsecs
Total Incl. MemUse (bytes): 99,814,312 bytes
Total Incl. PeakMemUse (bytes): 100,826,048 bytes
Number of Function Calls: 4,346,710
Просто еще не понятно, какие должны быть эти цифры, может вы подскажете?
Спасибо, часть сайтов работает в режиме FastCGI (Apache), часть просто на нем, согласен, со временем надо поменять на nginx+php-frm скорее всего всё... А как ограничить, это настройки php?
Евгений, обновлять их по отдельности проблем нет, когда домены добавлены отдельными доменами (прихожу к тому, что все таки этот способ удобнее и лучше, на производительность он не влияет). Если их добавить алиасами, то нужно обновить ssl, в который входят все эти домены, пока он будет получаться, все сайты будут с "незащищенным подключением", если не предполагается частое добавление доменов, можно и этот способ применить, но не в моем случае.
ura2rist, Должна прослеживаться какая-то логика для описания ваших действий) В конкретном случае можно назначить классы или идентификаторы для строк или столбцов и получать при клике значение нужного.
В логах кстати обнаружил странность, на сайте нет такого плагина (и папки), а в ответ с кодом 200 стоял
И много обращений
Это могут быть попытками взлома?