On Nov 10, 2007 9:33 AM, Wojciech Ziniewicz <[EMAIL PROTECTED]> wrote: > 10-11-07, Mikołaj Menke <[EMAIL PROTECTED]> napisał(a): > > Witam. > > Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł > > hasło użytkownika i skasował jego stronę www, podmieniając własnym > > "podpisem" oraz dorzucając php shell. Prawdopodobnie zrobił to przez > > ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio > > zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość > > późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co > > robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co > > tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika > > czy też w zasadzie mogę się przymierzać do reinstalacji systemu. > > Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian) > > PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i > > tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma. > > Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja > > reinstalacji przeraża mnie. :-/ > > najlepiej przejedź od poczatku do konca tutorial securing debian i > opczytaj o pakietach z "działu" forensics. > > pokręć sie gdzies w tych rejonach. > > http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html > > badanie przyczyn i skutków włamania to dość interesująca sprawa - > jesli tylko uda ci sie ustalić co sie dokladnie stało - podrzuć jakieś > info na liste. > > pozdr. >
Jak skonczysz narpawiac wszystko, to zainstaluj sobie "logcheck" Lukasz -- -- Vim auto completion for python http://lucasmanual.com/mywiki/FrontPage#head-8ce19b13e89893059e126b719bebe4ee32fe103c TurboGears from start to finish: http://www.lucasmanual.com/mywiki/TurboGears
