Доброго времени суток.

Случилось так что ко мне попал доступ к Cpanel от одного крупного ресурса.

Я туда воткнул сниффер что бы сливать себе нужные данные.

Через несколько дней админ удалил мой снифф.

Вопрос - по каким логам или другим действиям он мог меня спалить?

Все правки в файлах я делал с помощью стандартного редактирования файлов в cpanel.

После того как все правки были внесены, залил файлик php с touch и восстановил все тачи файлов на те же что были до меня.(исключение могли составлять секунды т.к. они не отображаются в цпанели) потом я этот файл удалил.

из палевных действий:

1. один из файлов картинок менялся в размерах. т.е. я туда писал данные а через некоторое время удалял их.

2. у одного из файлов (картинки) сменились права на 777.

Админ точно знал все файлы которые я редактировал т.к. исправил тоглько те файлы где я был. (я не во всех делал изменения)

Какими штатными средствами он мог меня отследить и как от этого защитится т.е. поставить код так что бы он не спалил на протяжении как можно большего количества времени.

или возможно есть нештатные средства и их можно как то определить?

Большое спасибо за советы.

Скорее всего посмотрел по логам на сервере. Какие файлы менялись. Если есть доступ к SSH то можно удалять все свои действия в логах!

возможный вариант. А где обычно логи лежат? как их можно посмотреть и отредактировать?

обычно /var/log/

вероятно что можно узнать - если админ проверяет изменение в файлах а так же появление или удаление файлов.

есть скрипты - делающие снимки md5 хеш файлов хостинга.

сталвивался с таким, такой файл может быть спрятан в системе заранее или загружаться админом для сверки, а потом удаляться !