Отследить заливку шела WordPress

[YoDa]

Пишу в оффтоп, ибо не уверен, что попал по адресу и задаю "правильный" вопрос.

Есть WordPress из коробки, установлен как есть без особых изменений в плане безопасности. На него периодически заливают вэб шел.

Хотел поинтересоваться, есть-ли возможность имея стандартные логи доступа апача, отследить как, когда заливка шела происходит?

Нашел в логах первое обращение и начал копаться выше, в поисках подозрительных запросов. Единственное, что удалось найти - это успешный запрос картинки из корня(этой картинки там не было никогда, и после обнаружения шела тоже). Предположительно это и есть шел, который в последствии переименовали.

Код:

88.149.201.70 - - [10/Apr/2014:20:58:11 +0300] 200 "GET /Z6cCXFmq.gif HTTP/1.0" 10 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8 rv:4.0) Gecko/20110511 Firefox/3.8" "-"
88.149.201.70 - - [10/Apr/2014:20:58:13 +0300] "GET / HTTP/1.0" 200 13963 "-" "Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.10.229 Version/11.61"
88.149.201.70 - - [10/Apr/2014:20:58:13 +0300] 200 "GET / HTTP/1.1" 13736 "-" "Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.10.229 Version/11.61" "-"
63.250.48.136 - - [10/Apr/2014:20:58:30 +0300] 200 "GET /RpMVfDzH.gif HTTP/1.0" 10 "-" "Mozilla/5.0 (iPod; U; CPU iPhone OS 4_1 like Mac OS X; us-US) AppleWebKit/534.25.1 (KHTML, like Gecko) Version/3.0.5 Mobile/8B113 Safari/6534.25.1" "-"
63.250.48.136 - - [10/Apr/2014:20:58:31 +0300] "GET / HTTP/1.0" 200 13963 "-" "Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.10.229 Version/11.61"
63.250.48.136 - - [10/Apr/2014:20:58:31 +0300] 200 "GET / HTTP/1.1" 13736 "-" "Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.10.229 Version/11.61" "-"
88.149.201.70 - - [10/Apr/2014:20:58:35 +0300] "GET /frDmXzBh.php HTTP/1.0" 200 182 "-" "Opera/9.49 (Windows NT 5.0; U; nl-Nl) Presto/2.9.172 Version/10.00"
88.149.201.70 - - [10/Apr/2014:20:58:35 +0300] 200 "GET /frDmXzBh.php HTTP/1.0" 4 "-" "Opera/9.49 (Windows NT 5.0; U; nl-Nl) Presto/2.9.172 Version/10.00" "-"
109.202.108.4 - - [10/Apr/2014:20:58:36 +0300] "GET /691937.html HTTP/1.0" 404 8165 "-" "-"
109.202.108.4 - - [10/Apr/2014:20:58:37 +0300] 404 "GET /691937.html HTTP/1.1" 7819 "-" "-" "-"
88.149.201.70 - - [10/Apr/2014:20:58:36 +0300] "GET /frDmXzBh.php?wenav=di HTTP/1.0" 200 7978 "-" "Opera/8.21 (X11; Linux i686; U; ru-RU) Presto/2.9.185 Version/11.00"
88.149.201.70 - - [10/Apr/2014:20:58:37 +0300] 200 "GET /frDmXzBh.php?wenav=di HTTP/1.0" 7800 "-" "Opera/8.21 (X11; Linux i686; U; ru-RU) Presto/2.9.185 Version/11.00" "-"
88.149.201.70 - - [10/Apr/2014:20:58:37 +0300] "GET /frDmXzBh.php HTTP/1.0" 200 6929 "-" "-"
88.149.201.70 - - [10/Apr/2014:20:58:37 +0300] 200 "GET /frDmXzBh.php HTTP/1.0" 6751 "-" "-" "-"
63.250.48.136 - - [10/Apr/2014:20:58:53 +0300] "GET /zZWpJYNB.php HTTP/1.0" 200 182 "-" "Mozilla/5.0 (compatible; MSIE 5.0; Windows NT 6.1; Trident/5.1)"

Собственно суть вопроса в том, что я хочу понять как это делают. Сканил исходники сайта всякими "вэб антивирусами" - вроде чисто.

[madhatter]

.htaccess и логи фтп проверьте. На шелл похоже, да. Вы не могли бы скинуть линк и логи в пм?

[YoDa]

В .htaccess чисто вроде. Нет ничего, кроме настроек хостера и цмс:

Код:

AddHandler x-httpd-php53 .php .php3 .php4 .php5 .phtml # phpvs v6

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On


RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

За фтп даже и не подумал, хостер логи по фтп не дает ((.

[madhatter]

Глянул ваши логи, в них подобная активность по сегодняшнее число. Нашел пару аналогично зараженных хостов. Какой-то ботнет или что-то сеошное, что вероятнее. Выбивайте xferlog из хостера.

[YoDa]

Ок, спасибо.

Уже написал хостеру в сапорт запрос на логи фтп.