Здравствуйте LORовцы, помогите! С вопросам к Вам, так как считаю Вас профи.
Из 2 сайтов на VPS (3.2.0-4-686-pae #1 SMP Debian 3.2.57-3+deb7u1 i686 GNU/Linux) был взломан, только 1.
Симптомы: на сайте разместили код какой-то секс.wap партнерки. Я его удалил (код php+javascript), а в течение дня по случайности был на сервере до прицендента, все было в рабочем состоянии.
Подскажите с чего начать анализ VPS? Всегда заходил на VPS по SSH и FTP с Linux Mint, неужели может быть троян у меня на рабочем компьютере? Надеюсь что нет, а ломали через FTP, но в логах стандартная ситуация - раз в 3 часа FAIL LOGIN: и большая часть спасибо - fail2ban.
И главный вопрос, как остановить говнотрафик с google на одну страницу, где раньше размешался скрипт. Сейчас nginx по этому адресу отдаёт 403, в robots.txt добавил правило, но трафик по 10 запросов в минуту неприятного содержания (опытался выбрать самые приличные:)
google.com: где в Москве театр для нудистов
google.com: скачать звездные воины
google.com: как вые**ть Олю
google.com: Самара купить саблю
