В принципе, если места под файлы реально нет, то как говорил Runinterfaceэто SQL-инъекции, так как имеются изменения в БД.
Не факт.
Загружаем вредоносный файл на сервер, обращаемся к нему, чтобы внести изменения в БД, удаляем файл.
Или, имея доступ к PMA, творим, что хотим.
Цитата:
zehrx сказал(а):
Многие говорят про логи, а на что конкретно обращать внимание. Если логи большие как можно вычленить нужное?
Вы же сами написали, что были произведены изменения в БД. С этого и начните. Ищите в логах "UPDATE", "название_таблицы" и др.
Цитата:
zehrx сказал(а):
2. Скриптов, всего пара, названия адекватные. Тоже если возможно, можете дать рекомендации на что смотреть?
Внутрь заглянуть и сравнить с исходниками. Если файлов много, то используйте какую-нибудь программу. Даже тот же total commander может справиться с этим.
в логах Вы увидите с какого адреса и когда подключились, если это был не грамотный взломщик! ну а так что бы узнать возможную дырку про сканируйте Акунетиксом или Vega, Nikto и т.д.
Уважаемый, Ondrik8, подскажи, пожалуйста, веб-сканер vega является ли он до сих пор актуальным? Сканил на это сканере из под Parrot Sec., находит сканер много чего, но заметил, что указан 2014 год снизу интерфейса программы..