Ваша ситуация звучит серьезно, и важно действовать быстро и осторожно, чтобы защитить свой сервер. Хакеры могут использовать множество методов для доступа к файлам и изменения их содержимого, даже если в логах не видно следов их присутствия. Вот несколько возможных способов и рекомендаций:
### Возможные методы доступа
1. **Злоумышленники могут использовать уязвимости в приложениях**: Если на вашем сервере работают устаревшие или плохо защищенные веб-приложения, это может стать вектором атаки. Обновите все приложения и установите патчи безопасности.
2. **Крадут SSH-ключи**: Убедитесь, что ваши SSH-ключи не были скомпрометированы. Нет надежного доступа через пароль, и хакеры могут использовать украденные SSH-ключи или упомянутое вами хранилище паролей.
3. **Скомпрометированные учетные записи пользователей**: Проверьте учетные записи пользователей с доступом к серверу. Обратите внимание на аккаунты с повышенными правами. Они могут быть скомпрометированы.
4. **Использование Backdoor**: Злоумышленник мог установить backdoor — скрытый способ доступа к вашему серверу. Это может быть плохо защищенно сервис или скрипт, который запускает команды от имени пользователя с повышенными правами.
5. **SFTP и его возможности**: Если вы подозреваете, что злоумышленник использует SFTP, убедитесь, что доступ предоставлен только авторизованным пользователям. Проверьте пользователей SFTP и их права доступа.
6. **Планировщик задач и Cron**: Злоумышленник мог добавить задачи в `cron`, которые выполняют его команды в фоновом режиме. Проверьте все задания cron, особенно у пользователей с повышенными правами.
### Рекомендации по устранению уязвимостей
1. **Проверка логов**: Просмотрите логи системного журнала (например, `/var/log/syslog`, `/var/log/auth.log`, `/var/log/secure`) на предмет подозрительной активности. Часто можно найти следы доступа другим путем.
2. **Полный аудит безопасности**: Проведите полный аудит безопасности на вашем сервере. Это может включать поиск неизвестных процессов, добавленных пользователей, измененных файлов и незнакомых программ.
3. **Обновление и патчи**: Обновите операционную систему и все установленные приложения до последних версий.
4. **Безопасность SSH**: Измените настройки SSH, например, отключите вход для root, используйте аутентификацию по ключам, настройте ограниченный доступ по IP.
5. **Мониторинг изменений файлов**: Используйте инструменты для мониторинга изменений в файлах (например, `tripwire`, `aide`), чтобы отслеживать изменения в системе.
6. **Изолирование сервера**: Отключите сервер от Интернета, если это возможно, и задействуйте резервные механизмы и процессы для восстановления данных.
7. **Бэкапы**: Убедитесь, что у вас есть резервные копии важных данных и конфигураций, чтобы вы могли быстро восстановить систему после атаки.
8. **Обратитесь к специалисту**: В случае, если ситуация слишком сложная, имеет смысл обратиться за помощью к профессионалам в области кибербезопасности.
Важно действовать немедленно, так как оставшийся доступ злоумышленника может привести к дальнейшим повреждениям или утечке данных.