index.php.bak.553785435d2a1
index.php.bak.5537866e6dd85
index.php.bak.5537879a7f265
index.php.bak.553788c6b1cd0
index.php.bak.553789f2c3d3f
$ rm index.php.bak.*
/bin/rm: Argument list too long
Google... stackoverflow ftw
$find . -maxdepth 1 -name "index.php.bak.*" -print0 | xargs -0 rm
Haha, gewonnen, alles gut. Upload geht wieder. Remote Host... zweigt schon wieder index.php.bak.553793529fb77
$ ls -la
-rw-rw-rw-. 1 apache apache index.php.bak.553790fab8794
-rw-rw-rw-. 1 apache apache index.php.bak.553792268158b
-rw-rw-rw-. 1 apache apache index.php.bak.553793529fb77
Alle 5 Minuten wird eine erstelle. Von apache, also irgendein Script...
$ crontab -e
Ist leer.
$ ls /etc/cron.*
Auch nichts dabei.
$ grep "index.php." -R *
Wieder nichts...
Schließlich findet sich im Apache Log der entscheidende Hinweis. Ein verschlüsseltes Fremd-Modul wird von außen alle 5 min. aufgerufen und macht irgendeinen mist.
Hersteller ist informiert. Derweil heißt es fleißig löschen...
