Web server, messages loglarını incelediniz mi?
Orada yapılanlar yazıyordur.
3 Ocak 2012 20:41 tarihinde Volkan Altan volkanal...@gmail.com yazdı:
Merhabalar,
Bana göre ilginç bir durumla karşılaştım ve kafamda bir takım soru
işaretleri oluştu konuya hakim olmadığımdan buraya sormayı uygun
Merhaba,
Genelde php script ile siliyorlar, php modüllerindeki açığı çok sık
kullanıyorlar. Müşterilerde inatla güvenli olmadığı bilinen php modüllerini
istiyorlar nedense :) Hatta çok güvenli olduğunu düşündüğümüz bir
sunucumuzda bile dosya silmeyi ve yaratmayı başarabilenleri gördüm (ruslara
@Adil Bey /var/log/messages içerisinde script'in çalışmaları yer almıyor.
Acaba path mi hatalı ?
@Zekeriya Bey bende bundan şüpheleniyorum sunucuda maldet uygulamasını
kurmuştum o da ilgili site için uyarı emailleri atmıştı.
Ama bu işin logunu görmek istiyorum :)
Volkan Altan
Volkan Bey, web server loglarına da baktınız mı?
Orada yapılan işlemler kayıtlıdır yüksek bir ihtimalle.
3 Ocak 2012 21:00 tarihinde Volkan Altan volkanal...@gmail.com yazdı:
@Adil Bey /var/log/messages içerisinde script'in çalışmaları yer almıyor.
Acaba path mi hatalı ?
@Zekeriya Bey bende
Merhaba,
Php script ile yapılmışsa ki büyük ihtimalle öyledir ne çıkacak ki log
dosyasından ? dosyaları root sildi diyecek, apache web server sildi
diyecek. Ben bu işin peşini bırakmam kardeşim diyorsanız eğer firewall log
larınızda var ise ozaman o saatlerde kimler girmiş çıkmış bakabilirsiniz.
03-01-2012 20:53, Zekeriya Akyıldız yazmış:
Merhaba,
Genelde php script ile siliyorlar, php modüllerindeki açığı çok sık
kullanıyorlar. Müşterilerde inatla güvenli olmadığı bilinen php
modüllerini istiyorlar nedense :) Hatta çok güvenli olduğunu
düşündüğümüz bir sunucumuzda bile dosya
Selamlar
bu isin logunu gormek istiyorsaniz tripwire kurun ve kullanin. Size
log verecektir ve faydasi olacaktir.
3 Ocak 2012 14:00 tarihinde Volkan Altan volkanal...@gmail.com yazdı:
@Adil Bey /var/log/messages içerisinde script'in çalışmaları yer almıyor.
Acaba path mi hatalı ?
@Zekeriya
Selam
/tmp dizinini noexec mount etmek harika bir fikir ancak yeterli mi?
3 Ocak 2012 16:00 tarihinde Mesut GÜLER me...@egemenyazilim.com yazdı:
/tmp için tanımlanan disk bölümü olarak sisteme noexec ile bağlamayı
öneriyorlar. Böylece buraya atılan şeyler çalıştırılamıyor.
tmp yi görünce
Merhaba,
Güzel ve faydalı önerileriniz için hepinize teşekkür ederim. Sunucuda 80
hariç bütün portlar belirli IP ler dışında kapalı durumda.
Bu durumda büyük ihtimal PHP ile yapılmış gibi duruyor.
Çözüm olarak hazır script kullananları /
maldethttp://www.rfxn.com/projects/linux-malware-detect/'e
