Добрый день!
На одном из подопытных серверов перед новым годом произошел взлом, в ходе которого в несколько файлов был внедрен вредоносный скрипт.
Что имеем:
— взломано 3 сайт (из-под трех разных пользователей), хотя всего сайтов несколько больше. Мотив?
— файлы были целенаправленно изменены по ftp (в логе xferlog 12 файлов трех сайтов были скачана и тут же загружены)
Sat Dec 29 07:24:00 2012 0 ::ffff:188.72.248.226 117 [filename] a _ o r [user1] ftp 0 * c
Sat Dec 29 07:24:00 2012 0 ::ffff:188.72.248.226 185 [filename] a _ i r [user1] ftp 0 * c
Sat Dec 29 07:24:01 2012 0 ::ffff:188.72.248.226 253 [filename2] a _ o r [user1] ftp 0 * c
Sat Dec 29 07:24:01 2012 0 ::ffff:188.72.248.226 337 [filename2] a _ i r [user1] ftp 0 * c
— вход по ssh запрещен в системе
Что хотелось бы узнать:
— как произошел взлом — это был перебор пароля?
— можно ли посмотреть историю авторизации по ftp на стандартных настройках proftpd? auth.log молчит