netwind, у вас есть любимый раздел для общения судя по статистике, вы сделаете одолжение если там и будете тусить.

читать про netstat пока некогда, не думаю что те запросы имеют отношение к взлому

доступ по ssh только с фиксированного айпи домашнего компа, всегда в последних заходах вижу свой айпи

права у веба такие же как у фтп, поэтому с него нельзя получить доступ на служебные файлы вроде etc

логи httpd почему то не ведутся, сейчас смотрю, но ведутся через index.php в базе данных, ищу там левак..

Полтора года назад ломали по ssh поэтому с правами рут творили что угодно вплоть до замены главного пароля и один раз грохнули все файлы.

Изучаю логи, пока только жалкие попытки
/index.php?page=./../../../../../../../../etc/passwd
и
/index.php?option=com_market&controller=./../../../../../../../../etc/passwd
с адреса 189.89.64.71

ip,"otkuda_prishel","kuda_url","date"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=home","2012-03-26 23:35:36"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=forward","2012-03-26 23:35:36"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=back","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=up","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=refresh","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=search","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=sort_asc","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=buffer","2012-03-26 23:35:38"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=small_dir","2012-03-26 23:35:38"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=ext_diz","2012-03-26 23:35:38"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=ext_lnk","2012-03-26 23:35:38"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=f&f=car.php&d=%2Fwww%2Fwww_parts&","2012-03-26 23:35:40"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:35:53"
87.195.253.3,"","/index.php?page=/tmp/shell.php","2012-03-26 23:36:22"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:37:07"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:39:17"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:39:56"
87.195.253.3,"","/index.php?page=/tmp/about.php","2012-03-26 23:40:19"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:41:10"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:43:39"
87.195.253.3,"","/","2012-03-26 23:45:16"

нетвинд
если ошибка в PHP то как это будет выглядит. Приглясат вас. Вы - так мне пышногрудую секретаршу, крутой сервак за поллимона, самый новый линукс и т.п. (шучу конечно). Все меняют и через час снова дефейс. Потому что косяк в скрипте PHP. Может корректнее сначала найти причину а потом чтолибо делать?

В общем какогото фига прописанная в php.ini опция disable_function их не вырубает!! Проверил на phpinfo. Хрень какаята.

))))))))))))))))))

Hey Admin, like you may see here, you have a dangerous vulnerability in your website, allowing an attacker to do whatever he wants. I can help you to fix it. Interested? Answer to yourfriend@trash-mail.com or (the best would be) create a textfile in this folder (chat.txt) where we can talk. Greetings Me

все врубился disable_functions - s не хватало в конце, хотя vim его высвечил как корректный
добавил туда пяток функций из shell поидее это должно вырубить его функциональность, верно?


allow_url_fopen = Off
allow_url_include=Off
expose_php=Off
disable_functions="exec,shell_exec,passthru,system,eval,show_source,proc_open,popen,parse_ini_file,dl,fp,function_exists,print,fsockopen,phpinfo,fileperms,ob_start,curl_setopt"