Cita: Ya no entiendo nada. Si yo tengo acceso shell no es que tengo acceso sólo a mi cuenta ?
Bueno .. si no sabian que PHP para un trabajo "seguro" se puede activar el "safe mode" .. no creo que sepan ni lo que es una "jaula shell" .. al estilo "FTP" (servidor) cuando creas una cuenta de FTP y le asignas un "root" própio desde donde (hacia abajo) se puede desplazar el usuario).
Un acceso Shell sin "enjaular" permite moverse por toda la estructura de directorios del servidor .. Si a eso le sumas que los permisos de archivos estan a "0777" o alguno tipo "permiso de escritura a todo usuario" .. con más razón pueden editar cualquier archivo del servidor. (Igualmente con un simple vistazo se vé con qué usuario quedó al realizar esa modificación como para capturar quien (que cuenta) lo hizo!!).
Cita: Ahhh y en los logs no veo nada, veo ips conocidas. Yo analicé el log ese que puedo bajar desde cpanel/raw access logs ... ese es ? o es un log que tengo que bajar ingresando como root ? dónde está ese log ?
No . ese no el log que te interesa ver. En ese log sólo ves los accesos al servidor HTTP y lo que el controla .. no de archivos ni de login's en el sistema (por shell) ni nada por el estilo.
Un saludo,