Mam od tygodnia duży problem - ktoś cały czas podmienia mi stronę na serwerze, sprawdziłem wszystkie możliwe logi wg mojej wiedzy i absolutnie nie ma tam NIC.
A ponieważ robi to kilka razy dziennie (po tym jak strona zostanie postawiona) to mam już dosyć, właściwie to desperacja bo nie wiem czego się złapać.
Zacząłem od zmiany wszystkich haseł, kilkukrotnie - nic to nie dało.
Potem sprawdziłem jak wrzuca pliki i tak zacząłem od sprawdzenia logowań na konto poprzez SSH poprzez polecenie last - nie znalazłem tam nic - tylko moje logowania z mojego IP - zarówno ftp jak i ssh.
Na wszelki wypadek wyłączyłem shella dla konta, ale to nic nie zmieniło.
Doszedłem do wniosku, że wrzucił jakiegoś PHPshella, sprawdziłem access_log - w szczególności odwołania POST i pliki php, które były wywoływane - NIC.
I dalej nie wiem co mam robić - skoro plik nie jest modyfikowany przez shella, FTP ani http to są jeszcze jakieś drogi?? W .bash_history roota też ani śladu komend innych niż moje.
Skoro nie mogłem znaleźć przyczyny zacząłem leczyć skutek. Najpierw dałem prawa do pliku index.php 444 - nic to nie dało, plik podmieniony i prawa 777.
Zmieniłem więc właściciela pliku na roota z prawami 444. W efekcie podmieniony na plik z prawami 777 z właścicielem ... userem(!) Zdaje się, że plik roota w katalogu usera może zostać przez usera skasowany bo katalog należy do niego. Ale to takie doraźne działanie, bo nie chce żeby ktoś mi grasował po serwerze, bo pomysły mi się skończyły
stąd prośba o pomoc
Sprawdziłem też log crona - żadnych podejrzanych wywołań na istniejących kontach (konta wszystkie moje, serwer dedykowany). A jednak w kotka i myszke - ja przywracam plik, po kilkunastu minutach/godzinach plik podmieniony
Właściwie to jestem już skrajnie zdesperowany
(( Serwer chodzi na PLESKu 8.2