Barrapunto

Como han dicho antes, han lanzado una lista de comandos a ver si colaba alguno. Dado que los supuestos comandos te aparecen como valores de campos, parece que el programa ha hecho su trabajo, se ha limitado a tratar los intentos como datos y no ha ejecutado.

Hay algunas cosas que podrías hacer para estar más tranquilo.

1) Normalmente estos ataques intentan crear un usuario en la base de datos: Revisa la lista de usuarios de la BD a ver si se ha añadido alguno, especialmente mira entre los que tienen privilegios de administrador.

2) Otra cosa que intentan hacer es, si el contenido de la BD se muestra, añaden contenido javascript. De esto modo, cuando se muestran ciertas páginas, ejecuta un javascript, que a veces redirige a otra página y cosas así. Esto es más complicado de buscar. Si tienes campos de texto que muestran contenidos, busca tags, ej. "<script.."

¿Ese script "email.php" lo habéis programado vosotros o es sacado de alguna parte? Si está hecho en otra parte, y lleva tiempo rondando por ahí probablemente está muy guerreado y sea seguro. Aunque como contrapartida, al ser conocido es posible que hayan encontrado un exploid.

Ya digo que no tienen pinta de haber entrado, pero de todas maneras, suerte.

Pues ya de paso, comprueba si se ha creado algún usuario y la fecha de modificación del /etc/passwd, que parece que andaban queriendo modificarlo.

¿Ese script "email.php" lo habéis programado vosotros o es sacado de alguna parte? Si está hecho en otra parte, y lleva tiempo rondando por ahí probablemente está muy guerreado y sea seguro. Aunque como contrapartida, al ser conocido es posible que hayan encontrado un exploid.

El código está copiado de un foro, pero no tiene ninguna complejidad, es tan sencillo como lo que explico. Es demasiado simple como para tener agujeros, imagino que encontrarle una vulnerabilidad a eso es casi como encontrársela al "Hola, Mundo". Si pueden entrar será por un problema de configuración del servidor, y eso ya no es cosa mía, es cosa de DreamHost.