Сообщение от
Luvilla
это шелл
дописаны две строки в функции проверки логина
занятно, такое мне ещё не попадалось, спасибо за пополнение коллекции
похоже, что у злоумышленника есть доступ к файловой системе
это может быть старый шелл (и если так, то это находится легче всего) - в виде модуля или файла
а доступ по ФТП есть?
это может быть вирусок на компьютере того, у кого сохранён ФТП-логин
это может быть и серверная уязвимость
аксесс.лог пишется?
берите вчерашний лог и изучайте, если шелл в файлах, будет видно обращение к НЕ-вобловскому файлу
всё верно
Фтп не стоит, пользуюсь только SFTP, судя по auth.log все заходы только с моих ip, логи nginx отключены, как я понял, зашли под другим админом, у которого есть доступ к редактированию юзеров, что то делали с некоторыми юзерами, пытались редактировать меня, но на мне защита в конфиге, да и судя по логам подомной не смогли зайти, после от инспектора файлов пришло письмо об 1 измененном файле и одном новом, может в подпись или аватар или статус залили html код какой то? Я уже айболитом прошелся по всему сайту, ни чего необычного не нашел, как теперь найти дыру?