заливка файла

Приветствую!
Есть подозрение на взлом, в логах вебсервера обнаружил буквально такое:
"GET /assets/794967a3/autocomplete/jquery.edit.css HTTP/1.1" 301

и через 2 секунды уже 200
"GET /assets/794967a3/autocomplete/jquery.edit.css HTTP/1.1" 200

а потом и вовсе
"GET /assets/794967a3/autocomplete/jquery.edit.css?file=jush.js&version=4.2.1&driver=mysql

При прямом запросе выдает
Forbidden
You don't have permission to access /assets/794967a3/autocomplete/ on this server.

собственно, как и должно быть, но как могли залить файл и куда лучше копать сначала начинать?

 

Ресурс у хостера? Если отталкиваться от того что у тебя с правами все гуд, к примеру дырявый сайт на том же сервере (другой) шел и поднятие прав.
А файл этот смотрел, к которому обращались?

 

Сервер физический, сайт на нем один, по правам косяком не нашел, а сам файл удаляется тут же после запроса. Щас делаю мониторинг ФС на создание файлов, чтобы сразу копировать, может чего интересного внутри окажется (раз уж спешат грохнуть)

 

грохается после запроса к нему, бррр? Ну тогда да, смотри логи системы, что бы хотя бы понять что файл делает то?

 

Проверьте есть ли запрашиваемый файл физически на сервере?
Смотрите его владельца, дату создания.
Смотрите логи FTP и вебсервера, когда он был создан.