È stata una lunga settimana a provare, a volte quando posso, a capire cosa sta succedendo su un server / sito web che sto mantenendo. Il sito è stato precedentemente compromesso, presumibilmente ripulito dai precedenti proprietari, e al momento del trasferimento, entro poche ore, è stato nuovamente compromesso.
Ad ogni modo, la domanda: se ci sono 0000 file di permessi sul server, posso supporre che l'hacker abbia accesso root?
(Non ho nemmeno accesso root ...)
Per chiarezza da un commento qui sotto: "Ma quello che intendevo era, perché un intruso avrebbe creato un file 0000? Immagino che a un certo punto volessero accedere al file. Quindi, se facessero questo file, lo farei immagina che sarebbe sicuro supporre di avere accesso root? "
[UPDATE] Nel caso in cui non fosse chiaro, questo sito è stato pubblicato da un altro server all'incirca a metà maggio. Sono tornato indietro e ho controllato i log, e poche ore dopo che il sito è andato in diretta ho visto un POST sospetto su un URL di un'applicazione che avrebbe dovuto restituire un 404. Dopo aver controllato, quel file era una backdoor; era timestamped allo stesso tempo del resto dei file. Quindi è lecito ritenere che il sito sia arrivato a noi in backdoor (altre backdoor avevano timestamp più recenti). Quindi ho trollato i file di log e scansionato le directory e trovato le backdoor.
Creeremo un nuovo account per questo sito e sposteremo i file puliti. Sto ancora confermando con i vecchi amministratori, ma sembrerebbe che pensassero che l'hack fosse limitato al "blog" (WP) e non aveva controllato l'app del sito principale per malignità ...