Здравствуйте. У нас на днях произошла такая ситуация, (установлена панель ispmanager) что, видимо, смогли взломать доступ к ftp пользователя admin.
Обнаружили что все домены содержат незнакомые папки и файлы. Было принято решение откатить все из резервной копии. Сделали, но почти сразу опять стали появляться чужие файлы. Т.к у нас есть резервные копии, было принято решение удалить всего пользователя и восстановить его данные из бэкапа под новым именем и с новым паролем. Все прошло успешно, но… Как оказалось потом, у нас не было в резервной копии одной БД, для нее просто не создавался судя по всему бэкап из-за ошибки описанной в саппорте isp “Ошибка Unknown column ‘generation_expression’ in ‘field list’ указывает на несоответствие версии клиента mysqldump и версии сервера MySQL. Колонка generation_expression появилась в более поздних версиях MySQL, начиная с 5.7, но клиент пытается запросить её на сервере более старой версии (например, 5.6).”. В итоге, мы остались без БД, к сожалению на компьютере есть старая версия и не полная по структуре и данным. Вопрос такой, а не могло ли на сервере остаться каких-либо “хвостов”? например от попыток резервных копий, или когда переносили пользователя с другого удаленного сервера с панелью isp или файл хранящий данные какой остается… Просто исчезли именно таблицы, сама БД и пользователь остались. Саппорт isp ответили посмотреть папку /var/lib/mysql-5.5 (этот сервер mysql был для этой базы). Но там кроме папки с именем БД и файла db.opt ничего не осталось. Не могло ли еще где остаться "следов" БД?
Александр, ну вот возможно данные в нем.
Надо запускать в другом окружении с такой же версией mysql, фиксить ошибки, там логи еще рядом должны быть и будет понятно - есть там данные или нет.
И да, если у вас "Обнаружили что все домены содержат незнакомые папки и файлы. Было принято решение откатить все из резервной копии. Сделали, но почти сразу опять стали появляться чужие файлы." - вам не поможет никакое восстановление из бекапа, так как вероятно у вас есть эксплуатируемая уязвимостить в коде сайта\версиях ПО.
Alexey Dmitriev, Не думаю, там есть "соседний пользователь" с реально популярным проектом, а тут один проект написанный под себя. Как база знаний. Внутренняя, которая никому не нужна и не интересная. Я просто замечал по логам ftp запросы на подключения постоянные с брутфорсом. И видимо это сработало, потому как дальше не прошло. И после смены имени пользователя и отключения доступа по ftp все уже как неделю почти стабильно
Средний
