Merhabalar,
Dosyalarin degisim tarihleriyle /var/log/auth yada /var/log/secure log
dosyalarini karsilastirabilirsiniz.
/etc/passwrd dosyasinda olmamasi gereken kullanicilar var mi kontrol
edebilirsiniz.
Not. Dosya oznitelikleri degistirilebilir oldugu icin cok dogru olmayabilir
, ama kontrol etmekte fayda var.
Cpanel log dosyalarini nerede tutuyor bilmiyorum ancak ftp varsa onlarin
loglarida karsilastirilmali.
Önlem olarak
Ssh ile suncuya baglaniyorsaniz;
1. Sifre yerine public key kullanin
2. Port numaralarini degistin.
3.ssh kullanacak kullanicilari sinirlayin.
4.fail2ban gibi scriptler kullanabilrsiniz.
Bunlar nacizane önerilerimdir ancak bu liste calisma seklinize uzar gider.
3 Tem 2013 09:54 tarihinde "Serkan Tetik" <serkanteti...@gmail.com> yazdı:
> Merhaba,
>
> find / -type d -perm -1000 -exec ls -ld {} \; komutunun çıktığı aşağıdaki
> gibi sadece tmp dosyalarında sticky bit olduğu görülmekte
>
> drwxrwxrwt. 12 root root 7846912 Jul 3 09:36 /tmp
> drwxrwxrwt. 2 root root 1024 Jun 29 00:07 /tmp/.ICE-unix
> find: `/proc/14933/task/14933/fd/5': No such file or directory
> find: `/proc/14933/task/14933/fdinfo/5': No such file or directory
> find: `/proc/14933/fd/5': No such file or directory
> find: `/proc/14933/fdinfo/5': No such file or directory
> find: `/proc/15294': No such file or directory
> find: `/proc/15301': No such file or directory
> find: `/proc/15302': No such file or directory
> find: `/proc/15308': No such file or directory
> find: `/proc/15312': No such file or directory
>
>
>
> 2 Temmuz 2013 21:07 tarihinde Hasan Akgöz <hasanak...@mail.ru> yazdı:
>
>> Pardon verdiğim find komutu yanlış oldu. Şu şekilde arama yapın find /
>> -type d -perm -1000 -exec ls -ld {} \;
>>
>>
>>
>> 2 Temmuz 2013 20:53 tarihinde Hasan Akgöz <hasanak...@mail.ru> yazdı:
>>
>> Dizinlerde sticky bit aktif mi kontrol eder misiniz ?
>>>
>>> find /home -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print
>>>
>>>
>>> 2 Temmuz 2013 19:24 tarihinde Serkan Tetik <serkanteti...@gmail.com>yazdı:
>>>
>>>> Merhaba,
>>>>
>>>> Üzerinde cPanel kurulu bir web sunucumuz mevcut bu sunucu üzerinde
>>>> bulunan tüm sitelere cPanel cgi ve 404 sayfalarıda dahil olmak üzere
>>>> malware zararlı içerik ve kodlar girdiği görülmektedir. Tüm araştırma ve
>>>> logları incelememize rağmen bir sonuç elde edemedik. Araştırmalar sonucu
>>>> blackhole exploit ile bu işlemin yapıldığı bir çok makale ve yazı ile
>>>> karşılaştık.
>>>>
>>>> Daha önce aramızda bu şekilde bir sorun yaşayanlar var ise nasıl bir
>>>> yol izlenmeli sunucu üzerinde nasıl bir önlem alınarak sunucu üzerindeki
>>>> zararlı içeriklerin temizlenebileceği ile ilgili yol gösterilerek yardım
>>>> olunur ise çok seviniriz.
>>>>
>>>> --
>>>> *Serkan Tetik*
>>>>
>>>> _______________________________________________
>>>> Linux-sunucu E-Posta Listesi
>>>> Linux-sunucu@liste.linux.org.tr
>>>>
>>>> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
>>>> okuyabilirsiniz;
>>>>
>>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden
>>>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini
>>>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz.
>>>> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>>>>
>>>>
>>>
>>
>> _______________________________________________
>> Linux-sunucu E-Posta Listesi
>> Linux-sunucu@liste.linux.org.tr
>>
>> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
>> okuyabilirsiniz;
>>
>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
>> dakika içinde üyeliğinizi sonlandırabilirsiniz.
>> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>>
>>
>
>
> --
> *Serkan Tetik*
>
> _______________________________________________
> Linux-sunucu E-Posta Listesi
> Linux-sunucu@liste.linux.org.tr
>
> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
> okuyabilirsiniz;
>
> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
> dakika içinde üyeliğinizi sonlandırabilirsiniz.
> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
>
_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr
Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
okuyabilirsiniz;
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
