Medovárszky Zoltán wrote:
>
> 1-2 óránként megtörik az apache daemont, ami ezután időnként üres
> oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít.
>
Szerintem nem az apache-ot bantjak.
> Eleinte néhány tcsh processt láttam www-data userrel, most már httpd-ből
> van néhány gyanús process.
> Apache, php a legfrissebb, open basedir van minden virtualhoston.
Valoszinuleg valamelyik virtualhostot piszkaljak, siman felulirjak ftp-n
keresztul a tartalmat a kedves userek feltort geperol szarmazo
jelszoval. Kapcsold le az ftp-t, a userek csak scp-vel frissitsenek, azt
lehet mod_chroot-tal megtamogatni, es csak kulccsal, nem jelszoval.
>
> Snort logom van kérdéses időpontból, de ez még nem segít megtalálnom a
> biztonsági rést.
>
> Hogyan induljak neki? Nincs 200eFt-m most megbízni egy szakértőt, de
> természetesen tudok rá pénzt is szánni.
>
Hasonlo problemaval kuzdo cimbora otlete:
find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
-exec grep -liH "base64_decode(" {} \; >>logfile
find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
-exec grep -liH "String.fromCharCode" {} \; >>logfile
find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
-exec grep -liH "</html><iframe src=" {} \; >>logfile
--
Gabor HALASZ <[email protected]>
_________________________________________________
linux lista - [email protected]
http://mlf2.linux.rulez.org/mailman/listinfo/linux
