Ну что за люди:

Mar 20 17:20:04 dc20e6-0x03 sshd[27931]: reverse mapping checking getaddrinfo for hostby.fcloud.biz [88.214.26.89] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 20 17:20:04 dc20e6-0x03 sshd[27931]: Connection closed by 88.214.26.89 port 49441 [preauth]
Mar 20 17:20:05 dc20e6-0x03 sshd[27933]: reverse mapping checking getaddrinfo for hostby.fcloud.biz [88.214.26.89] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 20 17:20:05 dc20e6-0x03 sshd[27933]: Connection closed by 88.214.26.89 port 49872 [preauth]
Mar 20 17:20:07 dc20e6-0x03 sshd[27935]: reverse mapping checking getaddrinfo for hostby.fcloud.biz [88.214.26.89] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 20 17:20:07 dc20e6-0x03 sshd[27935]: Connection closed by 88.214.26.89 port 50329 [preauth]

)))

¯\_(ツ)_/¯

Думаю, еще этот вопрос решается контролем изменений конфигурации. Если вы используете Configuration Managers и храните историю измения конфигураций - не проблема определить что изменение конфигурации поломало приложение.

Можно попробовать использовать iptables recent, но это реально паранойя

Ну вообще на самом деле логирование может помочь и при детекте шелла на сайте
Типо shell.php пытался заюзать функцию X и админ быстро чекает что там и почему)

Не факт, что это разрабы оставили шелл. Может их уже похачили до вас))

Сосед спрашивает, реально шелл был?)))

Супер :)

Куды вопросы слать?

Сюда

Ну я так предположил, часто бывает Просто)

Как отнеслись разрабы вообще?

Что делать с 53м портом?

Вечные споры вокруг него)

Может переименовали?)

К наказанию? )))

А что с ним не так?