Merhabalar, Dosyalarin degisim tarihleriyle /var/log/auth yada /var/log/secure log dosyalarini karsilastirabilirsiniz. /etc/passwrd dosyasinda olmamasi gereken kullanicilar var mi kontrol edebilirsiniz. Not. Dosya oznitelikleri degistirilebilir oldugu icin cok dogru olmayabilir , ama kontrol etmekte fayda var. Cpanel log dosyalarini nerede tutuyor bilmiyorum ancak ftp varsa onlarin loglarida karsilastirilmali. Önlem olarak Ssh ile suncuya baglaniyorsaniz; 1. Sifre yerine public key kullanin 2. Port numaralarini degistin. 3.ssh kullanacak kullanicilari sinirlayin. 4.fail2ban gibi scriptler kullanabilrsiniz.
Bunlar nacizane önerilerimdir ancak bu liste calisma seklinize uzar gider. 3 Tem 2013 09:54 tarihinde "Serkan Tetik" <serkanteti...@gmail.com> yazdı: > Merhaba, > > find / -type d -perm -1000 -exec ls -ld {} \; komutunun çıktığı aşağıdaki > gibi sadece tmp dosyalarında sticky bit olduğu görülmekte > > drwxrwxrwt. 12 root root 7846912 Jul 3 09:36 /tmp > drwxrwxrwt. 2 root root 1024 Jun 29 00:07 /tmp/.ICE-unix > find: `/proc/14933/task/14933/fd/5': No such file or directory > find: `/proc/14933/task/14933/fdinfo/5': No such file or directory > find: `/proc/14933/fd/5': No such file or directory > find: `/proc/14933/fdinfo/5': No such file or directory > find: `/proc/15294': No such file or directory > find: `/proc/15301': No such file or directory > find: `/proc/15302': No such file or directory > find: `/proc/15308': No such file or directory > find: `/proc/15312': No such file or directory > > > > 2 Temmuz 2013 21:07 tarihinde Hasan Akgöz <hasanak...@mail.ru> yazdı: > >> Pardon verdiğim find komutu yanlış oldu. Şu şekilde arama yapın find / >> -type d -perm -1000 -exec ls -ld {} \; >> >> >> >> 2 Temmuz 2013 20:53 tarihinde Hasan Akgöz <hasanak...@mail.ru> yazdı: >> >> Dizinlerde sticky bit aktif mi kontrol eder misiniz ? >>> >>> find /home -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print >>> >>> >>> 2 Temmuz 2013 19:24 tarihinde Serkan Tetik <serkanteti...@gmail.com>yazdı: >>> >>>> Merhaba, >>>> >>>> Üzerinde cPanel kurulu bir web sunucumuz mevcut bu sunucu üzerinde >>>> bulunan tüm sitelere cPanel cgi ve 404 sayfalarıda dahil olmak üzere >>>> malware zararlı içerik ve kodlar girdiği görülmektedir. Tüm araştırma ve >>>> logları incelememize rağmen bir sonuç elde edemedik. Araştırmalar sonucu >>>> blackhole exploit ile bu işlemin yapıldığı bir çok makale ve yazı ile >>>> karşılaştık. >>>> >>>> Daha önce aramızda bu şekilde bir sorun yaşayanlar var ise nasıl bir >>>> yol izlenmeli sunucu üzerinde nasıl bir önlem alınarak sunucu üzerindeki >>>> zararlı içeriklerin temizlenebileceği ile ilgili yol gösterilerek yardım >>>> olunur ise çok seviniriz. >>>> >>>> -- >>>> *Serkan Tetik* >>>> >>>> _______________________________________________ >>>> Linux-sunucu E-Posta Listesi >>>> Linux-sunucu@liste.linux.org.tr >>>> >>>> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >>>> okuyabilirsiniz; >>>> >>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden >>>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini >>>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >>>> >>>> >>> >> >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> Linux-sunucu@liste.linux.org.tr >> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> okuyabilirsiniz; >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> >> > > > -- > *Serkan Tetik* > > _______________________________________________ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > >
_______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu