>Hello, All!
>Помогите советом несведущему, плиз.
>Имеется машина на Фре4.7, на которой крутится МуСКУЛ,
>немного хостинга на Апаче, ну и по-мелочам еще немного всякого.
>
>Недавно было замечено, что некто получил доступ к одной из
>служебных баз данных (скорее всего по причине банальной утечки
>информации об аккаунте).
>
>Можно было бы поменять, конечно, пароль на базу и всё, да вот,
>
>руководство решило устроить "охоту на ведьм" и поймать  этого
>зловредного некто...
>
>Доступ к базам теоретически возможен только с localhost,
>вероятность захода этого _некто_ шеллом на машину исчезающе мала.
>ИМХО, скорее всего доступ осуществляется из некоего скрипта,
>размещенного на одном из вирт. хостов.....
>
>Как бы мне зафиксировать коннекты к базе и определить откуда
>они происходят (из скрипта, из консоли, из сети, не дай Бог...)
>
>With best regards, Eugene Vasiliev.

Смотри в логи апача. Постарайся отловить имя юзера, под которым выполняется доступ и IP-шних и заруби доступ из файрвола или из htaccess.