Цитата:
Сообщение от Maximus
Почему нельзя ограничить доступ SSH/FTP по IP?
|
Они не через SSH/FTP заливают, как я понимаю, а через дыру в PHP скрипте.
Но её можно найти. Надо посмотреть дату/время модификации заражённого htaccess файла и пошарить в http логах на этот же момент даты/времени. Там безусловно будет шел, который это сделал. Далее посмотреть на дату/время создания уже самого шела и снова поискать в логах. Это выведет на тот дырявый скрипт через который вам и загрузили этот шел. Скорее всего, это какой-то скрипт аплоада файлов (я предполагаю). Ну а уж в самом скрипте найти дыру несложно учитывая то, что он будет с параметрами... Если параметры передаются через POST, можно сделать их сохранение куда-нибудь на будущее чтобы в следующий раз найти дыру.
Если в http логах нет ничего на искомые дату/время, надо смотреть ftp логи. Но с ваших слов, грузят не через ftp. А вообще я все ftp логины на своих серверах закрыл, только SSH пользуюсь. А пароли ввожу из памяти (из головы, в смысле). ))