
Сообщение от
bigbrain911
один новый файл vb_observer.php
это шелл

Сообщение от
bigbrain911
был изменен login.php
дописаны две строки в функции проверки логина
занятно, такое мне ещё не попадалось, спасибо за пополнение коллекции

Сообщение от
bigbrain911
а что скажите судя по файлам и ситуации, какие действия с моей стороны должны быть?
похоже, что у злоумышленника есть доступ к файловой системе
это может быть старый шелл (и если так, то это находится легче всего) - в виде модуля или файла

Сообщение от
bigbrain911
судя по логам доступа посторонних по ssh не было
а доступ по ФТП есть?
это может быть вирусок на компьютере того, у кого сохранён ФТП-логин
это может быть и серверная уязвимость
аксесс.лог пишется?
берите вчерашний лог и изучайте, если шелл в файлах, будет видно обращение к НЕ-вобловскому файлу

Сообщение от
bigbrain911
Админов удалил кроме себя, свой пароль сменил, пароль базы тоже, левый файл сразу удалил измененный вернул на место и снял права для записи.
всё верно