как поймать кракера?

Собственно взломали сайт. Хацкер оказался более менее грамотным и трет логи, меняет время создания и редактирования файла. В связи с че даже пока не получается понять, то ли он через шел меняет права на файлы и потом редактирует, или всеже ломанул серв и имеет доступ админа, т.к пароли все меняли и не помогло. Права на папки тоже меняли, но он может их менять.

Какие методы отлова есть?

думаю, для начала к панели хостера доступ по ip ограничить можно, а там уже в режиме реального времени мониторить сервак...
Если инстант 1.10, то дождаться обновлений безопасности, которые будут выпущены в ближайшее время, согласно обещанию многоуважаемого Fuze

AndroS, это надо первым делом делать, так же как и админку сайта под маску ip подгонять..

Дальше, на чем бы я заострил внимание — это если вы не уверенны в хостере или у вас свой vpn, то не советовал бы ставить на поддомен icms2.0, там откровенные дырки, через которые при неправильном распределении прав хакер может получить контроль на только над поддомене, а еще на домене и других сайтах находящиеся на этом сервере..
Не буду рассказывать всех фишек, но советую присмотреться… причем в файлы движка можно вставить код который абсолютно не привлечет к себе внимания, но при этом который позволитт выполнить любой php

не советовал бы ставить на поддомен

а если поддомен под отдельным пользователем сервера это как то поспособствует улучшению безопасности?

а если поддомен под отдельным пользователем сервера

поставь себя на место хакера, просто ради самообразования скачай шелл, залей на свой хост и посмотри что он может…

yury, меняйте хостера, CMS здесь не при чем — вас взломали другим способом.

Fuze, могу опровергнуть утверждение что icms2.0 тут не причем…

Fuze, могу опровергнуть утверждение что icms2.0 тут не причем..

icms2.0 нет, а то, что выложено — выложено для ознакомления, не вижу даже смысла говорить. Не ищи в ней баги, не трать время и уж тем более "блеснуть" на эту тему бессмысленно.

Я говорю про icms1.10. Но даже смысл не в этом. Здесь явно владеют самим сервером.

Максим Шорин, могу точно сказать, что 2,0 там и близко нет. Fuze скорей всего прав, дело там в хостинге. Чего-то там в настройках сервера не то… Права на файлы правильные, но тем не менее их каким-то образом хакают. В админку и на FTP посторонние судя по логам не заходили.

А насчет 2.0 — никто ведь и не утверждает, что она супер безопасная. Это вообще бета версия только для ознакомления, а не для установки на рабочие проекты… Но даже если она супер дырявая, то будучи на поддомене с правильной настройкой прав ничего плохого от нее не будет.

Игорь, я прекрасно понимаю что 2.0 выложенно только для ознакомления, но!!! Многие пользователи поставили ее для ознакомления, а это — полный разгул для хакера… я не ищу баги, но они просто саи в глаза бросаются…

SJen, я не спорю, но могу показать как воспользоваться бспечностью админов… =)) а это одна из самых опасных уязвимостей…

Да блин, ну о чем вы тут спорите. При чем тут 2.0? Как описывает топикстартер, то это точно не права полученные из под web юзера. А вот причины поломки никому не известны.
А топик стартеру посоветую проверить все на наличие всяких неприятных аддонов.

а если поддомен под отдельным пользователем сервера

поставь себя на место хакера, просто ради самообразования скачай шелл, залей на свой хост и посмотри что он может..

да, хочу, посветуй плиз какой шел — надо протестить пару серваков