Я вот пытаюсь понять, как нас взломали. Есть пока что две версии:
1) подобрав пароль на ssh-логин (который совпадает с логином / паролем на ftp) (или сперев его из какого-либо ftp-менеджера)
2) через какую-либо дыру в движке сайта или форума

За первую версию говорит то, что пароль на ssh-доступ был не родной. Ессно я сразу поставил новый пароль
Но вот остаются гаденькие сомнения за вторую версию. Дело вот в чем: мне из техподдержки прислали список файлов, которые взломщики поместили на сервер и из которых запустили ботов (сам файлы, ессно, техподдержка сама удалила). Так вот, владелец и группа файлов - пользователь apache, а сами файлы были помещены в каталог tmp в корне сайта. Но! В access_log за последний месяц ни одного из этих файлов нет.
Вот мне интересно, можно это считать доказательством что взлом произведен НЕ через сайт?
И еще - вроде третьего пути взлома я придумать не могу. Но это не значит, что его не может быть :-(
И кстати - есть ли где-нибудь лог ssh-доступов, хотя бы дата/время начала сессии, ip, в идеале действия по копированию файлов и т.п.? Операционка на сервере - fedora core 5