Apache hiba, vagy ügyes betörő?

Igen, meg lettel torve.

Ugy szokott tortenni a dolog, hogy valami regi bugos (alt. php) program sebezhetoseget kihasznalva feltoltenek egy programot, ami megkeresi az osszes html es php filet amihez hozzafer, es a vegere irja amit akarnak.

Aztan bongeszobol ezt lekerik, es bingo.

Kellemes irtast & upgradelest

Másik eset:

Majdnem egy éve létezik olyan program, amelyik az elmentett ftp jelszavakat kiszedi pl TC-ből, és azokkal járja végig a szervereket, cseréli le a file-okat.

+1 ezt találtam: http://www.yourjoomlapro.com/

--
A gyors gondolat többet ér, mint a gyors mozdulat.

Ha ftp-vel férnek hozzá akkor egy ftp log ellenőrzés sem árthat, mert lehet hogy a total commander ftp inijéből nyálazták ki az accountot és hopp. Nemrégen volt egy ilyen hullám.

Kakukk!
Bind-et használsz? Mikori? Cseréld újabbra. A jelenség ismerős. Kínaiak csinálták ugyanezt pár éve. Web motorra nem gyanakszom, mert akkor csak 1 domainhoz férnek hozzá, ha jól állítottad be. Esetleg wu-ftpd-n keresztül is tudtak régebben ilyet csinálni.
User quota be van állítva? Mikor monitoroztad utoljára? Nézd meg hátha vmelyik user hirtelen elkezdte használni az accját ftp log nélkül. Rendszer szintű user is lehet, sőt!

[off]
Legalább egy ilyen portálon próbáljuk már meg a hacker szót elválasztani a visszaéléssel foglakozó cikktől.
[/off]

--
Keep it simple, stupid.

Ha az ftp jelszavadat lopták el akkor ez elég jó védelem lehet, mivel a támadások nagy része külföldről érkezik

létrehozol egy .ftpaccess fájlt aminek a tartalma ez legyen:


Limit ALL>
Allow From .hu
DenyAll
/Limit>


A kacsacsőröket ki kellet hagynom mivel nem tudom hogyan lehet kikerülni hogy ne html elemnek nézze