Nos, sajnos a logok elemzése még annyira sem fekszik mint a többi, erről ugyanis nem sokat árul el a Google.:)
De arra utaló jelet egyenlőre nem találtam, hogy ssh-n jöttek volna be. Amúgy rákerestem erre a Hacker csoportra és ott elméletileg el is dicseketek azzal hogy feltörték az oldalt. Megjegyzésnek azt írták, hogy honlaprongálás történt. De így legalább megvolt a pontos dátum.
Megnéztem milyen fileok változtak
find -mtime
és így megkaptam miket kell átnézni. Persze volt azért más meglepetés is.
Ami elmaradt az az hogy megfejtsem:
honnan jöttek be?
mi volt a rés a pajzson? (ha egyáltalán volt pajzs :|)
és hogy hogyan tudnék védekezni?
És akkor maradjunk az utóbbi kérdésnél.
Ti milyen jogosultságot állítanátok arra a mappára amin nem dinamikus oldal van? Statikus oldalnak jó a 444 ha a owner és a group is www-data?
CMS rendszerű oldalnak 754 ha a owner és a group is www-data?
Egyáltalán van ezeknek komoly jelentősége?
Azt gondolom nincs SuPhP-m, mert fogalmam nincs mi az.
Köszönöm a segítséget.