Чем можно просканировать папку с сайтом на вирусы?

chattr -R +i /path/to/неизменяемого каталога

Если процесс имеет привилегию CAP_LINUX_IMMUTABLE он этот атрибут также легко снимет:

chattr -R -i /path/to/неизменяемого_каталога

А теперь выложи название дистра и вывод:

ls -l /sbin/setcap

getcap /sbin/setcap

grep -v -E ‘^(#|$)’ /etc/security/capability.conf

Ваш дистр разрешает обычному пользователю устанавливать CAP привилегии на файлы?

Технология CAP очень хороша для понижения прав root и такая же опасна как suid для частичрого повышения привилегий обычного пользователя!

Для начала надо DAC настроить:

chown -R root:www /path/to/неизменяемого_каталога_original

chmod -R a-rwxst,ug+rX /path/to/неизменяемого_каталога_original

Лично я бы рекомендовал всем строгое разделение неизменяемого исполняемого и изменяемых данных. Тогда все что исполняется можно держать в режиме только для чтения, а что изменяется в режиме запрета исполнения и запрета suid. При правильных настройках ядра это даст некие гарантии неизменности исполняемых файлов, библиотек, настроек в рабочей системе. Раде этого стоит отказаться от systemd.

Но вопрос чуть о другом. Жду антивирусник, на две строки кода, который ловит и лечит все известные и неизвестные вирусы изменяющие файлы…

/path/to/site

боюсь, топикстартер не поймёт. Надо было спросить где сайт лежит и потом с путём написать, иначе не сработает...

Лично я бы рекомендовал всем строгое разделение неизменяемого исполняемого и изменяемых данных. Тогда все что исполняется можно держать в режиме только для чтения, а что изменяется в режиме запрета исполнения и запрета suid.

Эх, прямо как по писанному...были ж времена... а сейчас все смешалось, пони, кони...

В данном случае я подразумевал эффект «неуловимого джо». Шансов что кто-то будет сильно ковыряться исходя из задачи в топике, очень не много. Не получилось, да и юг с ним, рядом ещё сотня у кого заработает.