Cuestión : ¿Cómo se ha comprometido mi servidor?

Hola, se ha penetrado el Web site del

My. Por lo que puedo decir solamente un archivo del pie del PHP me he corregido, con un código malévolo del iframe agregó que las tentativas de instalar un virus vía el hojeador. Un ataque similar ocurrió hace aproximadamente 8 meses. No estoy seguro si es el mismo atacante o si el mismo método de entrada fue utilizado (que me ha eludido). el

This era el panorama de la seguridad en el último ataque: el
- apache funcionaba bajo su propio
- del usuario/del grupo (no nadie) que el archivo corregido del pie tenía permisos - rw-r--r-- y no fue poseído por apache o el nobody

I no cree que el atacante tiene acceso de SSH. Creo que el agujero de seguridad está en la capa de la aplicación web. Mi Web site acepta cargas por teletratamiento del archivo y da a usuarios la capacidad de instalar las hojas de estilo de encargo que se reciben en el servidor. Sin embargo, estoy seguro que no estoy ejecutando ninguno de estos cosas pues el código del PHP, y además, él es imposible para apache/PHP modificar el archivo del pie debido a su propiedad y permiso. ¿Cómo habría podido este archivo ser corregido? ¿Cómo podría el usuario elevar su privilegio del usuario de tela al dueño del archivo (o el más altos)? ¿Han comprometido a mi propio cliente? Funcioné con cada programa del rootkit que no podría encontrar - en mi servidor y mi cliente - y encontrar nada. Miraba mis registros del ssh, lastlog, .bash_history - no podría ver cualquier cosa. No creo que una contraseña y/o una llave del pub fueron robadas. ¡Funciono ubuntu, pero WinXP también funcionado como máquina virtual - ésta es la única vulnerabilidad que puedo pensar en en mi

Help de client.

PHP 5.2.13
Apache/2.2.12
Linux 2.6.18-194.8.1.el5PAE (Centos)!

Thanks
class= del

Respuesta : ¿Cómo se ha comprometido mi servidor?

Usted los mayo o mayo no sufrir del exacto el mismo ataque hemos ido recientemente a través, pero suena como él. Después de días de restorals y de contraseñas cambiantes y de él que sucede de nuevo - en el extremo encontramos que infectaron a una persona directo en su PC con un virus de la grabación del golpe de teclado.

 Una vez que el atacante podía asir un usuario del ftp de la raíz y un picovatio, podían infectar y separarse a través hacia fuera de ese servidor lleno y utilizar en algunos casos lo que encontraron para golpear otro servidor a través de ese anfitrión.

 También intentaban asir el software Info del ftp y apenas conjeturar aleatoriamente en las contraseñas para tener el acceso inicial que no habían conseguido ya.

 Llevó casi 2 semanas totalmente la parada y restaura todos los sitios del problema. El usuario infectado tuvo que reinstalar totalmente 3 de sus sistemas operativos de computadora. Entonces restauramos los respaldos donde los teníamos y quitados manualmente de otros sitios que no tenían suficientemente lejos un respaldo con el corte. Entonces cambió cada picovatio para cada sitio algo nuevo y más difícil.

 Usar software de los octetos de Malware parecer poder detectar el virus, pero si es que el mismo virus, él infecta los ficheros del sistema que son importantes y también los restablecimientos en la PC. No podíamos encontrar una manera alternativa de quitar el corte de la PC regular sin totalmente la reinstalación del sistema operativo.

Esto no es probablemente lo que usted quiso oír, pero esperanzadamente nuestra pesadilla le ayudará a solucionar su problema y usted puede encontrar quizá una manera alrededor de perder todos sus datos.