Просматривал тут кэш запросов, нашел непонятные обращения к (отсутствующим) файлам типа ykoctpa.tgz ykoctpa.ru.rar и аналогичным, заинтересовался - а кто это тут хакер? - и полез в логи. А там...
85.10.210.199 http://www.ykoctpa.ru - [05/Oct/2015:01:59:00 +0600] "GET /groups/my/picture/1794/ HTTP/1.1" 200 14459 "-" "Mozilla/5.0 (compatible; Googlebot/2.1;+http://www.google.com/bot.html)/1.8 (InfoSeek crawler; http://www.infoseek.com; crawler@infoseek.com)"
85.10.210.199 http://www.ykoctpa.ru - [07/Oct/2015:14:34:39 +0600] "POST /xmlrpc.php/xmlrpc.php HTTP/1.1" 200 731 "-" "Mozilla/5.0 (X11; U; OpenBSD i386; en-US; rv:1.7.5) Gecko/20050128 Firefox/1.0"
85.10.210.199 http://www.ykoctpa.ru - [07/Oct/2015:14:36:14 +0600] "POST /xmlrpc.php/xmlrpc.php HTTP/1.1" 200 731 "-" "Opera/7.11 (Windows ME; U) [en]"
85.10.210.199 ykoctpa.ru - [12/Oct/2015:12:29:09 +0600] "HEAD /ykoctpa.tgz HTTP/1.1" 404 0 "http://ykoctpa.ru/" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X10.5; fr; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4"
85.10.210.199 http://www.ykoctpa.ru - [13/Oct/2015:07:00:21 +0600] "GET /places/kumertauskij-ugolnyj-razrez/map/ HTTP/1.1" 200 12811 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)/1.8 (InfoSeek crawler; http://www.infoseek.com; crawler@infoseek.com)"
85.10.210.199 http://www.ykoctpa.ru - [13/Oct/2015:07:00:27 +0600] "GET /topics/regions/ HTTP/1.1" 200 25727 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)/1.8 (InfoSeek crawler;http://www.infoseek.com; crawler@infoseek.com)"
85.10.210.199 http://www.ykoctpa.ru - [14/Oct/2015:18:11:21 +0600] "GET /multik/deti-v-poxode/poxod-s-rebenkoj-k-askinskoj-peshhere/ HTTP/1.1" 200 25968 "-" "Mozilla/5.0 (compatible; Googlebot/2.1;+http://www.google.com/bot.html)/1.8 (InfoSeek crawler; http://www.infoseek.com; crawler@infoseek.com)"
85.10.210.199 dev.ykoctpa.ru - [14/Oct/2015:21:41:42 +0600] "HEAD /dev.ykoctpa.ru.7z HTTP/1.1" 404 0 "http://dev.ykoctpa.ru/" "Opera/9.63 (Windows NT 6.0;U; nb) Presto/2.1.1"
85.10.210.199 http://www.ykoctpa.ru - [17/Oct/2015:15:17:26 +0600] "GET /places/askinskaya-ledyanaya-peshhera/album/ HTTP/1.1" 200 15652 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)/1.8 (InfoSeek crawler; http://www.infoseek.com; crawler@infoseek.com)"
То есть когда идут легитимные запросы бот честно сообщает кто он, а когда с того же адреса пытаются стырить исходники или побрутфорсить пароль (запросы POST) - то прикидывается обычным посетителем.
Раз такое дело то не глянуть ли другие 404 ошибки? От увиденного волосы дыбом встали - до сотни запросов в день в попытке спереть backup.rar, backup.sql.gz и прочие файлы, причем не только к основному домену но и поддоменам dev.ykoctpa.ru и test.ykoctpa.ru. И все от адресов, с которых ходят боты Infoseek.com. Прям-таки приспичило, видимо... Самый цимес в том, что Infoseek принадлежит сейчас The Walt Disney Company - активному борцуну за соблюдение авторских прав
Ну а мораль сей байки такова - в нынешнем мире никаких посторонних файлов, а особенно бакапов, в корне веб-сервера быть не должно - сопрут в полностью автоматическом режиме.
PS. не создать ли backup.zip из /dev/random?