Um tipo de ataque muito comum hoje em dia é a criação de links simbólicos dentro da sua área de hospedagem, apontando para todos os usuários do arquivo /etc/passwd (que pode ser lido por qualquer script em PHP ou Perl), buscando arquivos padrões dos principais CMS do mercado, como o WordPress e Joomla. Com o uso de um comando simples é possível descobrir se o seu servidor está sofrendo com esse tipo de ataque. A partir de qualquer diretório, execute o seguinte comando:
find /home/*/public_html -type l
Caso encontre muitos links simbólicos direcionados aos arquivos para wp-config.php e configuration.php, verifique pois certamente o usuário dono desse diretório sofreu um ataque que explorou alguma vulnerabilidade do site (normalmente WordPress e Joomla desatualizados). O comando apenas indicará se o seu servidor já sofreu com o ataque, não resolve o problema, que precisa ser investigado e resolvido.
