Думаю, что взломали твой сайт из за хостинг провайдера или нулленых плагинов или тем.

хостинг у программиста с нулледа которого знаю лет 8

пара плагинов на WP стояло

не факт что в них ошибки

 

По поводу взломов. 

Я как-то глянул логи сервера и больше боюсь туда заглядывать. Там боты брутфорсят все подряд с нескольких тысяч адресов. Долбят все пртрты, ssh ftp почту и даже самбу, которую только самоубийцы ставят.

В логах сайта то же самое. 

Если у вас на сервере или сайте есть уязвимость, к ней быстро применят эксплойт. Причём это будут боты в автоматическом режиме. 

 

3 часа назад, aplayer сказал:

Я как-то глянул логи сервера и больше боюсь туда заглядывать.

А я как-то лет 10 назад настроил iptables на доступ только с конкретных IP для сервера, добавил в index.php админки такую конструкцию (подставьте свои IP или сети):

function check_ip()
	{
		$ip = $_SERVER['REMOTE_ADDR'];
		$masks = array("11.22.33.*", "22.33.*.*", "44.55.66.77");  
		foreach ($masks as $mask) {
			$r = '/^'.str_replace(array('.', '*'), array('\.', '[\.\d]+'), $mask).'$/'; 
			if ( preg_match($r, $ip) ) { return 1; }
		}
		return 0;
}

if(check_ip())  {
	define('READ_WRITE_SEPARATION', FALSE);
	define('REPORT_EXCEPTIONS', TRUE);
	require_once '../init.php';
	\IPS\Dispatcher\Admin::i()->run();
}

и сплю более-менее спокойно. 

 

5 часов назад, Desti сказал:

А я как-то лет 10 назад настроил iptables на доступ только с конкретных IP для сервера

Ну у меня нет постоянного ip. Даже если бы он был, то его легко потерять. Например провайдер в любой момент может провести реструктуризацию комаппании и изменить условия договора и услуг.

С ssh проблема решается входом по ключу без пароля. Удобно и безопасно.

Кстати если ssh с паролем, то за сутки удаленно можно перебирать брутфорсом около 20000 вариантов. Не сомневайтесь, сотни тысяч китайских ботов сейчас занимаются именно этим над вашим сервером.

ФТП - не шифрованный трафик нонче не в моде. Если пароль не перехватывать, то особых дыр не имеет.

Порты самбы наверно сейчас блокируют все хостеры независимо от твоих настроек iptables. И даже по вашей заявке их не откроют.

Ну и вебсервер... Скрестите пальца чтобы разработчики движка, ngix и apache не накосячили. Иначе сотни тысяч китайских ботов завладеют вашими сайтами.

1 час назад, aplayer сказал:

Не сомневайтесь, сотни тысяч китайских ботов сейчас занимаются именно этим над вашим сервером.

Сомневаюсь, т.к. вижу auth.log, там пусто. Или тысячи китайских ботов смогли уговорить ядро не логировать попытки подключения? 

 

Вопрос создания "абсолютной защиты от всего" никогда не стоял, задача повысить стоимость взлома до уровня, когда взлом теряет смысл.

2 часа назад, Desti сказал:

Сомневаюсь, т.к. вижу auth.log, там пусто.

выше вы говорили, что настроили фаервол. Если китайские боты не проходят iptables, то это не значит, что они этого не делают.

попробуйте в iptables журналирование 22 порта включить

5 часов назад, aplayer сказал:

то за сутки удаленно можно перебирать брутфорсом около 20000 вариантов... ...занимаются именно этим над вашим сервером...

Мы о чем говорим? О переборе? Этого нет и это видно по логам. А что происходит ЗА файрволом, меня мало интересует.

еще вспомнил.

Лучше всего безопасность обеспечивается доступом через туннели. Тоесть все службы принимают входящие соединения только с локалхоста. Голой попой в сеть будет выставлен только тунель.

В этом случае даже использование самбы будет безопасным, даже если хостер блочит ее порты со своей стороны.