hack serveru (spam zombie?)
Lubomir Host
rajo at platon.sk
Wed May 27 13:50:51 CEST 2009
On Wed, May 27, 2009 at 01:34:05PM +0200, Cizek.Milan wrote:
> Ahoj,
>
> > Remountni /tmp s noexec volbou a prelez logy apache.
>
> tohle zabralo, alespoň se ten proces opakovaně nespouštěl.
Tak to uz nechaj remountnute takto, ak to vyslovene nepotrebujes.
> > grep -ir include /var/log/apache
> > grep -ir =http: /var/log/apache
>
> > a deravy php skript musis mat za chvilku identifikovany.
>
> Tak to se mi nedaří. Kde přesně hledat? Access nebo error logy? Tak jako tak tam nevidím nic divného. :-(
Access logy za posledny mesiac zo *vsetkych* domen, ktore mas. Hladaj
take URL, ktore su nestandardne. Urcite mas niekde podhodenu externu
URL, na ktorej najdes zakerny kod.
Prip. este grepni na slova wget, exec, curl access logy a ked nepomoze
ani to, tak hladaj zle nastavene prava na adresaroch/skriptoch, kde ti
bezia weby.
A ako poslednu zachranu najdi niekoho, kto ti utok zanalyzuje prip.
zaudituje nastavenia na serveri.
rajo
> Milan
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
--
,''`. Lubomir Host 'rajo' <rajo AT platon.sk> ICQ #: 257322664
: :' : Jabber: rajo AT jabber.platon.sk VoIP: callto://rajo207
`. `' WWW: http://rajo.platon.sk/ Platon Group: http://platon.sk/
`- GnuPG key: DC0C C7EA 55C8 B089 C41D 944A F251 A93A 2361 A82F
More information about the Users-l
mailing list