Как я выясняю, как “хакеры” Взлома Pharma получают доступ к моему сайту?
Вы не можете доверять ни одной статистике или метрикам, которые вы получаете от самого сервера. Он может иметь руткит (более или менее основанный на POSIX эвфамизм для вируса ). Если вам абсолютно необходимо проанализировать сервер, вы захотите проанализировать трафик, исходящий от ваших сетевых адаптеров. Используйте порт TAP / mirror и приготовьтесь отсеять кучу мусора. Конечно, на сервере может не быть руткита. Почистить сервер может быть несложно. Конечно, вы можете использовать что-то вроде Rootkit Hunter , чтобы попытаться исправить ситуацию.
Я повторяю еще раз: вы никогда больше не сможете доверять тому, что видите на этом сервере. Вы должны выйти из него, чтобы узнать, что происходит.
Лучшим вариантом будет сбросить его с орбиты.
Восстановите его. Следите за каждым изменением в файловой системе. Узнайте о tripwire . Inotify тоже .
Прочтите эту ветку ServerFault « Мой сервер был взломан АВАРИЙНО ». Дважды. Это все.