Frage : Wie ist mein Bediener gekompromittiert worden?

Hallo,

My eingedrungen worden Web site en. Insoweit ich nur eine PHP-Seitenendeakte erklären kann redigiert worden, mit einem böswilligen Iframecode hinzufügte dass Versuche, ein Virus über den Browser anzubringen en. Vor ein ähnlicher Angriff auftrat ungefähr 8 Monaten. Ich bin nicht sicher, wenn es der gleiche Angreifer ist, oder ob die gleiche Methode der Eintragung angewendet (die mir ausgewichen).

This war das Sicherheitsdrehbuch im spätesten Angriff:
- Apache lief unter sein eigenes Benutzer/Gruppe (nicht niemand)
-, welches die redigierte Seitenendeakte Erlaubnis - rw-r hatte--r-- und besessen nicht von Apache, oder nobody

I glauben nicht, dass der Angreifer SSH Zugang hat. Ich glaube, dass die Sicherheitslücke in der Web-Anwendungsschicht ist. Meine Web site annimmt Aktenantriebskräfte t und gibt Benutzern die Fähigkeit, kundenspezifische Artblätter anzubringen, die auf dem Bediener bewirtet. Jedoch bin ich sicher, dass ich nicht irgendwelche Sachen durchführe, da PHP-Code und außerdem, es unmöglich für Apache/PHP ist, die Seitenendeakte wegen seines Besitzes und Erlaubnis zu ändern. Wie könnte diese Akte redigiert worden sein? Wie konnten der Benutzer ihr Privileg vom Netzbenutzer zum Akteninhaber erhöhen (oder die höheren)? Gekompromittiert worden mein eigener Klient? Ich laufen ließ jedes rootkit Programm, das ich nichts finden - auf meinem Bediener und meinem Klienten - und finden könnte. Ich betrachtete meine ssh Maschinenbordbücher, lastlog, .bash_history - könnte nichts nicht sehen. Ich glaube nicht, dass ein Kennwort und/oder ein Pubschlüssel gestohlen. Ich laufen lasse ubuntu, aber auch laufen gelassenes WinXP als virtuelle Maschine - dieses ist die einzige Verwundbarkeit, die ich an auf mein client.

PHP 5.2.13
Apache/2.2.12
Linux 2.6.18-194.8.1.el5PAE (Centos)

Help denken kann!

Thanks

Antwort : Wie ist mein Bediener gekompromittiert worden?

Sie Mai oder Mai, nicht unter dem genauen zu leiden der gleiche Angriff durchgemacht wir vor kurzem acht, aber er klingt wie es. Nach Tagen von restorals und von ändernden Kennwörtern und ihm noch einmal geschehend - im Ende fanden wir, dass eine Person direkt auf ihrem PC mit einem Tastenanschlagaufnahmevirus angesteckt.

 Sobald der Angreifer in der Lage war, einen Wurzelftp-Benutzer und einen pw zu ergreifen, in der Lage waren sie, durch diesen vollen Bediener heraus anzustecken und zu verbreiten und in einigen Fällen zu verwenden, was sie fanden, um einen anderen Bediener durch diesen Wirt zu schlagen.

 Sie versuchten auch, ftp-Software-Info zu ergreifen und Kennwörter gerade nach dem Zufall zu schätzen, um Anfangszutritt zu erhalten, den sie nicht bereits erhalten.

 Es dauerte fast 2 Wochen vollständig zum Anschlag und wieder herstellt alle Aufstellungsorte vom Problem e. Der angesteckte Benutzer musste 3 ihrer Rechnerbetriebssysteme vollständig wieder installieren. Dann wieder herstellten wir Unterstützungen ir, in denen wir sie hatten und manuell von anderen Aufstellungsorten entfernen, die nicht eine weit genügende Unterstützung mit der Kerbe hatten. Änderte dann jeden pw für jeden Aufstellungsort zu neuem und schwierigerem etwas.

 Using Malware Byte-Software scheinen, in der Lage zu sein, das Virus zu ermitteln, aber, wenn es ist, dass das gleiche Virus, es die Systemsakten ansteckt, die wichtig und auch die Wiederherstellungen auf dem PC sind. Wir waren nicht imstande, eine alternative Weise zu finden, die Kerbe vom regelmäßigen PC zu entfernen, ohne das Betriebssystem vollständig wieder zu installieren.

Dieses ist vermutlich nicht, was Sie hören wollten, aber hoffnungsvoll hilft unser Albtraum Ihnen, Ihr Problem zu lösen und möglicherweise können Sie eine Weise um das Verlieren aller Ihrer Daten finden.