hack serveru (spam zombie?)

Lubomir Host rajo at platon.sk
Wed May 27 13:50:51 CEST 2009


On Wed, May 27, 2009 at 01:34:05PM +0200, Cizek.Milan wrote:
> Ahoj,
> 
> > Remountni /tmp s noexec volbou a prelez logy apache.
> 
> tohle zabralo, alespoň se ten proces opakovaně nespouštěl.

Tak to uz nechaj remountnute takto, ak to vyslovene nepotrebujes.

> > grep -ir include /var/log/apache
> > grep -ir =http:  /var/log/apache
> 
> > a deravy php skript musis mat za chvilku identifikovany.
> 
> Tak to se mi nedaří. Kde přesně hledat? Access nebo error logy? Tak jako tak tam nevidím nic divného. :-(

Access logy za posledny mesiac zo *vsetkych* domen, ktore mas. Hladaj
take URL, ktore su nestandardne. Urcite mas niekde podhodenu externu
URL, na ktorej najdes zakerny kod.

Prip. este grepni na slova wget, exec, curl access logy a ked nepomoze
ani to, tak hladaj zle nastavene prava na adresaroch/skriptoch, kde ti
bezia weby.

A ako poslednu zachranu najdi niekoho, kto ti utok zanalyzuje prip.
zaudituje nastavenia na serveri.

rajo

> Milan
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l

-- 
  ,''`.  Lubomir Host 'rajo' <rajo AT platon.sk>    ICQ #:  257322664
 : :' :  Jabber: rajo AT jabber.platon.sk      VoIP: callto://rajo207
 `. `'   WWW: http://rajo.platon.sk/  Platon Group: http://platon.sk/
   `-    GnuPG key: DC0C C7EA 55C8 B089 C41D 944A F251 A93A 2361 A82F



More information about the Users-l mailing list