Estaba usando sftp para dar acceso a los clientes a ciertas carpetas para que pudieran modificar sus hosts virtuales de Apache como lo deseen. Hasta que alguien subió una puerta trasera php y borró todos los hosts virtuales :).
Me preguntaba si hay alguna forma de obtener la ip del atacante.
Supongo que no veré nada en access.log porque la mayoría de las puertas traseras de PHP utilizan la función del sistema para ejecutar comandos en shell.
Lo más importante a tener en cuenta es que su servidor está comprometido en todo momento. Si bien el atacante puede no haber instalado ningún rootkits o similar, no tienes forma de saberlo. Sus únicas opciones son desconectar el sistema y analizarlo utilizando una fuente externa. Cuanto antes, mejor, ya que de lo contrario, usted mismo pisoteará cualquier evidencia a través del uso normal del servidor.
Básicamente, desconecte el servidor, saque el disco, clónelo, límpielo, use copias de seguridad (¡si las tiene!) para recuperar un estado útil, luego comience a ver los datos en el disco (recuerde que solo debe examinar los datos, nunca arranque el sistema).
Si tiene suerte, encontrará rastros del atacante en los registros del servidor web o en los registros de ftp. Dependiendo del nivel de acceso, también puede encontrar algo en los registros de autenticación. Obviamente, revise los registros que ofrece el sistema, tal vez tenga suerte.
Intente configurar Snorby o alguna otra variación de Snort y escuche la actividad de la red en la subred o los segmentos de red en cuestión. Es probable que puedas tener un buen comienzo en algunos de los análisis forenses de redes y descifrar si se trata de una o más puertas traseras y el origen / destino de tu ingreso / egreso.
Lea otras preguntas en las etiquetas forensics