gondoltam ezért nem nyitok új topikot, ide is belefér... véleményeket és ötleteket szeretnék tőletek.
a következő a helyzet: adott egy dedikált szerver amin szükségszerűen az ügyfél összehányt php kódját és egyéb hasonló dolgokat meg kell tűrni. ebből korábban már volt gond, mert ezen keresztűl húzták már meg a szervert...
az üzemeltetést átvettem, újrahúztam, a lehető legjobban megpróbáltam bebiztosítani, kapott mod-security -t, javíttattam jó pár dolgot a php kódokban, de se safe_mode nem kapcsolható se register_globals ki, + a kód miatt egy csomó egyébként általam nem preferált fv is kell (system és a többiek)... összegezve egy hatalmas gány az egész és átvizsgálhatatlan az php-s "portál" kódja...
a helyzet most:
-ezerrel jönnek vissza az egyik alap címre levelek (ami a feladó volt) a legkülönfélébb helyről, h nem lehetett kézbesíteni...
-a levelet nyilván senki sem küldte, spam...
-a visszakapott levelekben az elküldött levél fejléce is benne van amiből egyértelműen kiderül, h valóban a szerverről ment ki!
-a logokból semmi nem látszik, de tényleg!
-ps semmi különös
-netstat semmi különös
-levél küldés távolról csak auth után megy, helyből a permit_mynetwroks (127.0.0.0/8) (webmail ezen keresztül)
-webmailnak két cucc egymás mellett, squirrelmail és ilohamail, mindkettő külön linken, a linkek nem szerepelnek sehol
chkrootkit és rootkithunter semmit sem talál, persze ha vmi vhogy teljesen betúrta magát kernel szinten akkor ez nem feltétlenül csoda... sehogy nem látom és nem tudom visszakövetni, h mi és mikor küldi ki a levelet...
szóval itt jön a nagy kérdés, h mit és hogyan néznétek tovább, mit használnátok felderítésre?
rendszer: debian 3.1, rendszeresen frissítve, apache2, php4, mysql4.1, postfix/courier virtual userekkel(sql), + egyéb szűrések postfix alá de az ide lényegtelen...