ClamAV делает довольно хорошее задание на этом. Это только ищет вирусы Windows. В зависимости от Вашей среды что-то как следующее;
Plesk: freshclam; clamscan-ir/home/httpd/vhosts / */httpdocs/| кладут ~ для первого удара/possible.phpshells
cPanel: freshclam; clamscan-ir / домой//public_html/| кладут ~ для первого удара/possible.phpshells
Я использую для использования следующего в качестве, пока я не нашел, что моллюск сделал хорошее задание. Существуют только слишком многие из них, чтобы не отставать:
найдите / домой / */public_html/-размер-200k - тип f-print0 | xargs-0 grep - т.е. "r57shell|c99shell|g00nshell|EgY_SpIdEr|egy_spider|phpjackal" | uniq-c |, вид-u | сократил-d"":-f1 | awk '{печатают 2$}' | uniq>/root/possible.phpshells
По моему опыту, если пользователь входит в систему через owa после смены пароля, вам необходимо убедиться, что вы сняли флажок «Пользователь должен изменить пароль при следующем входе в систему »в их свойствах в ADUC.
Если это не удается, попробуйте войти на рабочую станцию и посмотрите, выдает ли рабочая станция код ошибки, а не просто неудачную попытку входа в систему.