Sziasztok,
az alábbi dologra lettem figyelmes. A webserveremen minden index.* állományba belekerült egy sor ma 5:00 perckor.
A rendszer Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9.
A beírt sor ehhez hasonló, de a domain mindig változik
< img height="1" width="1" border="0" src="http://psaxfoxl.cz.cc/4897187.jpg" >
Ki mit javasol, mi történt (azt vágom, hogy vírus ami nem létezik linux alá, elnézést a cinizmusért) hogy hárítsam el a jövőben a dolgot?
up: claimscan naponta cronolva fut, nem talált semmit. :)
üdv nhw
UP2:
Megvan! ahogy sokan sejtették. Kolléga csinált a céges hálózathoz egy FTP-t amiben volt 1 virtual directory a webserver www könyvtárához. Van blokkolásunk 3 hibás próbálkozás után, de lopott jelszóval nem kellett próbálkozni. :(
- 1550 megtekintés
Hozzászólások
Kerüld a warezt :)
- A hozzászóláshoz be kell jelentkezni
kerülöm, egyéb konstruktív hozzászólás? - egyébként milyen a warez linux?
- A hozzászóláshoz be kell jelentkezni
...amilyet megfertőzött egy férges Windowsos kliens...
vírusos/férges gép -> pl Total Commander eltárolt FTP-kkel -> ellopot FTP-re belép, módosít -> Te meg nicht örülni.
Minden index állomány nem teljesen egyértelmű. De jó lehet chrootolt FTP külön minden projektre, domainre, akármire, változtass jelszavakat, figyeld LOG-okat, ne használj sima, titkosítatlan FTP-t, stb, stb. Ha MySQL-ben vannak a userek az még talán a "jobbik" eset, ha system userrel léptek be, az már nem olyan jó...
Láttam már Linuxos vírust... futtas vmi víruskergetőt meg vmi rootkit hunter szerű dolgot
Túl sok konstruktív dolgot egyébiránt nem tok mondani: "Hát, ez ilyen!"
- A hozzászóláshoz be kell jelentkezni
Ennek köze nincs az oprendszeredhez (tehát mindegy, hogy van-e linux alá vírus vagy nincs).
Hasonlóról legutóbb egy e107 sebezhetőséggel kapcsolatban olvastam.
Amúgy ezek ellen a legjobb a megfelelő php beállítások (safe, global), illetve .htaccess fájllal is sokat lehet finomítani.
üdv: pomm
A 852-es kídlap telepötúsa sikeresen befejezádétt
- A hozzászóláshoz be kell jelentkezni
Régebben itt is volt valakinek olyan problémája, hogy egy vírus (windowson...) lenyúlta a total commandertől a mentett ftp jelszavakat, és úgy garázdálkodott.
- A hozzászóláshoz be kell jelentkezni
ha jol tudom ezt a feature-t nem legalisan legalizalt TC tartalmazta, nem virus csinalta, a felhasznalo telepitette mikozben orult, hogy milyen ugyesen lett neki regisztralt commandere...
- A hozzászóláshoz be kell jelentkezni
Total Commanderünk céges szinten legális ezt kizárhatom.
Sőt a szervert sose FTP-n hanem samba-n érem el. Helyi hálózaton. :(
- A hozzászóláshoz be kell jelentkezni
1. Keresd meg, hogy mikor és hol mászott be (valószínűleg FTP-n)
2. Ellenőrizd a szervered, hogy esetleg nem törték meg más útvonalon is.
Ellenőrizd azt is, hogy más nem oda illő cuccot nem raktak-e fel (pl irc bot program, password gyujto pl ssh-ba rejtve).
3. Írtsd ki a linkeket
4. Figyelj jobban a nem megszokott aktivitásokra
ui: használj pl tripwire-t a rendszer integritásának ellenőrzéséhez
- A hozzászóláshoz be kell jelentkezni
thx ebben a sorrendben követem!
- A hozzászóláshoz be kell jelentkezni
elso korben rkhunter, chkrootkit, hatha regi versenyzo es mar ismert
- A hozzászóláshoz be kell jelentkezni
Regebben ezt a mutatvanyt akkor alkalmaztak onkent, amikor mas lehetosegek hijan forgalmi statisztikakat akartak kesziteni a sajat oldalukrol a webfejlesztok (1*1 pixel transparent gif letoltodik valahonnan minden oldalbetoltesnel es ott szamoljak). Ha itt nem errol van szo (es feltehetoleg nem) akkor bizony valami bejutott es a roman szerveren ezzel azt ellenorzi, hogy sikerult-e a mutatvany. Minden esetre jot nem jelent, valami tortent a szervereden, en levennem a netrol es megneznem a binarisokat egy friss telepitesbol szarmazoval osszehasonlitgatva.
- A hozzászóláshoz be kell jelentkezni
Felül írva, third party FileZilla ftp szerver + lopott jelszó. A logokból szépen kibogarásztuk hogy és mint van.
- A hozzászóláshoz be kell jelentkezni