1. php 파일이 계속 변조되는데 해당 시간대에 apache의 log에도 아무것도 안남고, last의 shell 접속 기록에도 남아있지않다.
2. index.php에 modify timestamp가 변하는것으로 보아 php 등의 쉘로 접속하는게 아닐까 추측해본다.
2-1. 하지만 php의 접속은 보이지 않는다.
3. 계정이 도용당해서 접속하여 변조한 다음 last나 access기록을 지우는게 아닐까 추측해본다.
4. perl 스크립트를 간단하게 만들어서 1초 간격으로 해당 파일의 modify timestamp를 추적하여 변화하는 즉시 access, error 로그의 tail값, 접속로그 last의 head값을 출력하도록 만들어서 해당 output을 파일로 저장중.
5. 추가 기능 : tcpdump로 매 분 트래픽을 기록해서 변조가 발생하는 즉시 해당 시간으로 부터 일정 (5분) 기간 동안의 트래픽을 파일로 저장 기록하는 기능 구현 할 수 있을까