Проверка форума на предмет взлома

[Self Author]

Здравствуйте!
У меня такая ситуация:
Пару месяцев назад мой форум хакнули. Версия была старая (не следил я за этим). После обнаружения хака (проявлялся он в дефейсе и в октрытых некоторых настройках, которые я раньше закрывал), я сделал следующее:
1. Закрыл папку форума через .htaccess.
2. Переписал все исполняемые файлы с локальной копии (чтобы не разбираться, что именно изменилось).
3. Накатил обновления до версии 2.0.15
4. Сделал через .htaccess доступ к папке admin по паролю.
5. Поменял пароли на акаунт, ftp, на админа форума.
6. Открыл форум.

Но после того случая, не очень часто, примерно раз в месяц, стало происходить следующее:
Когда я захожу на главную страницу форума, это становится последней страницей, которую я вижу со своего сайта в ближайшие несколько минут, потому что мой файрвол (Outpost) закрывает доступ к ip-адресу сайта, поскольку обнаруживает с него сканирование портов.
Последний раз сканировались порты: TCP (1792, 1801, 1802, 1799, 1797, 1800).

На одном форуме, где я обсуждал проблему сканирования портов вообще (без связи с phpBB), мне посоветовали проверить, не хакнули ли мой форум ещё раз, уже без видимых проявлений.
Может быть можно как-нибудь проверить исполняемый файлы форума на предмет нахождения в них посторонних команд?

[p00h]

Не знаю, хакнули ли тебя, но мой Outpost регулярно ругается на обнаружение атаки с форума и сканирование портов, хотя никаких "левых" команд и вредоносных пользователей/админов там нет. Не знаю, что это. Быть может проверка кук или данных сессии, сам я точно не знаю, просто хочу сказать, что у меня тоже oupost также реагирует, но доступ мне не закрывает. Может быть настройки файервола некорректные?

[VVVas]

Self Author
Проверьте левых админов, поменяйте пароль на ftp, sql, свой на форуме (если есть ещё админы, то и им тоже), у всех модераторов. Правильно расставьте права на папки, и проверьте ещё раз всё. И посмотрите может у вас файервол стои в параноидальном режиме.

[Mr. Anderson]

Почти классическое поведения Аутпоста. Он у меня так даже на локальный форум ругается
Но перестраховаться все же советую.

[Self Author]

Не знаю, хакнули ли тебя, но мой Outpost регулярно ругается на обнаружение атаки с форума и сканирование портов, хотя никаких "левых" команд и вредоносных пользователей/админов там нет. Не знаю, что это. Быть может проверка кук или данных сессии, сам я точно не знаю, просто хочу сказать, что у меня тоже oupost также реагирует, но доступ мне не закрывает. Может быть настройки файервола некорректные?

Да, это дело в настройке. Но суть не в этом. Закрытие доступа - это как бы мера защиты. Другое дело, надо бы выяснить, что это такое. И если это нормальные действия, то хорошо бы, чтобы спецы по phpBB сказали об этом.

Добавлено спустя 1 минуту 20 секунд:

Self Author
Проверьте левых админов, поменяйте пароль на ftp, sql, свой на форуме (если есть ещё админы, то и им тоже), у всех модераторов. Правильно расставьте права на папки, и проверьте ещё раз всё. И посмотрите может у вас файервол стои в параноидальном режиме.

Админ я один. Модераторов нет. Все пароли поменял после хака. А файрвол стоит в нормальном режиме: не реагирует на скан одного порта, только если сразу несколько.

[VVVas]

Self Author
Левых админов проверили?

[Self Author]

Self Author
Левых админов проверили?

Это user_level в таблице?
Проверил: у всех 0 и только у меня 1.

[p00h]

И вообще, аутпост так на многих сайтах себя ведет. По крайней мере у меня. Похоже, когда сайт запрашивает какую-то инфу от пользователя (мне кажется, что скорее всего куки), то пытается достучаться, а аутпосту это не нравится...

[Self Author]

Странно то, что такие вещи происходят у меня только на моём сайте, и причём далеко не каждый день, хотя, разумеется, я захожу на свой форум ежедневно, и в админку лазию примерно раз в неделю...