ログイン後、何をやられたか
FTP アカウント権限だけであれば、ファイルのアップロード・ダウンロードくらいしかできませんが、
アップされたファイルの中で PHP Shell という *.php ファイルがあり、
そのスクリプトの中身を見ると、どうも PHP 経由でシェルコマンドを叩けるような物のようでした(怖いので実際に実行させていません)
つまりこれにより http 経由でシェルコマンドが叩けるようになり、
apache 権限で何かしらのコマンドが叩けるような状態になっていました。
FTPのログによると、アップされたファイルは上記のPHP Shellファイルと*.tgzファイルだけだったので、
ファイルアップロード後は、PHP Shellを使ってファイルの展開等を行ってたんだと思われます。
http 経由で PHP Shell をたたき、postメソッドによってコマンドを送信すれば、
apacheのログにコマンド履歴が残りません(少なくとも僕のサーバーでは)。
賢いもんです。
ただgetメソッドによってコマンド送信している部分もあるようで、それを見てみると uname -a というのを実行してたのが分かりました。多分 OS を確認してたんでしょう。
これらの手順を見て思ったのは、アクセス者はかなり手慣れてるようです。
多分他にも何人か被害者がいて、同じようにしてフィッシング詐欺がなんかに使われたのでしょう。
今後同じような被害に合わないためにはどうすればいいか。その対策についてはまた別途書く事にします。