Недавно попросили почистить веб-сервер. FreeBSD, Apache, MySQL, куча виртуальных сайтов на PHP.
В /tmp обнаружился выводок разнообразной гадости - скрипты на perl, python, php, один файл на C (явно неудачный выбор - должен был использовать старые уязвимости в ядре Linux, попал не по адресу).
Скрипты должны были делать много интересного - рассылать спам, брутфорсить пароли, заниматься фишингом.
Особой защиты на сервере не было. Отключил его от сети, настроил ipfw, закрыл все, что не нужно (то есть практически все - снаружи только 80 и 443). После подключения подозрительной активности не заметно.
В php не разбираюсь, но интересует вопрос - что нужно сказать разработчикам, куда их ткнуть носом (использование include, настройки php.ini - с учетом того, что используется CMS)? И что еще можно сделать для минимизации угроз?