Question : Comment mon serveur a-t-il été compromis ?

Bonjour, le site Web du

My a été pénétré. Dans la mesure où je peux dire seulement un dossier de titre de bas de page de PHP a été édité, avec un code malveillant de trame I a ajouté que des tentatives d'installer un virus par l'intermédiaire du navigateur. Une attaque semblable s'est produite il y a approximativement 8 mois. Je ne suis pas sûr si c'est le même attaquant ou si la même méthode d'entrée a été employée (qui m'a éludé). le

This était le scénario de sécurité dans la dernière attaque : le
- apache fonctionnait sous son propre
- d'utilisateur/groupe (pas personne) que le dossier édité de titre de bas de page a eu les permissions - RWR--r-- et n'a pas été possédé par apache ou le nobody

I ne croient pas que l'attaquant a accès de SSH. Je crois que le trou de sécurité est dans la couche d'application Web. Mon site Web accepte des téléchargements de dossier et donne à des utilisateurs la capacité d'installer les feuilles de modèle faites sur commande qui sont accueillies sur le serveur. Cependant, je suis certain que je n'exécute pas quelconque d'entre ces choses car le code de PHP, et en outre, il est impossible pour apache/PHP de modifier le dossier de titre de bas de page dû à sa propriété et permission. Comment ce dossier pourrait-il avoir été édité ? Comment l'utilisateur pourrait-il élever leur privilège de l'utilisateur de Web au propriétaire de dossier (ou les plus hauts) ? Mon propre client a-t-il été compromis ? J'ai lancé chaque programme de rootkit que je pourrais ne trouver - sur mon serveur et mon client - et fonder rien. J'ai regardé mes notations de ssh, le lastlog, .bash_history - ne pourrait voir rien. Je ne crois pas qu'un mot de passe et/ou une clef de pub ont été volés. Je cours l'ubuntu, mais le WinXP également couru comme machine virtuelle - c'est la seule vulnérabilité que je peux penser à sur mon

Help de client.

PHP 5.2.13
Apache/2.2.12
Linux 2.6.18-194.8.1.el5PAE (Centos) !

Thanks
class= de

Réponse : Comment mon serveur a-t-il été compromis ?

Vous des mai ou mai ne pas souffrir de l'exact la même attaque nous sommes récemment intervenus, mais cela ressemble à de lui. Après des jours des restorals et des mots de passe changeants et lui se produisant encore une fois - à la fin nous avons trouvé qu'une personne a été infectée directement sur leur PC avec un virus d'enregistrement de frappe.

 Une fois que l'attaquant pouvait saisir un utilisateur de ftp de racine et un picowatt, ils pouvaient infecter et étendre par ce plein serveur et employer dans certains cas ce qu'ils ont trouvé pour frapper un autre serveur par ce centre serveur.

 Ils essayaient également de saisir l'information de logiciel de ftp et de deviner juste aléatoirement aux mots de passe pour gagner l'accès initial qu'ils n'avaient pas déjà obtenu.

 Cela a pris presque 2 semaines complètement à l'arrêt et reconstitue tous les emplacements du problème. L'utilisateur infecté a dû complètement réinstaller 3 de leurs logiciels d'exploitation d'ordinateur. Alors nous avons reconstitué des supports où nous les avons eus et manuellement enlevons d'autres emplacements qui n'ont pas eu loin assez de support avec l'entaille. A alors changé chaque picowatt pour chaque emplacement en quelque chose nouvelle et plus difficile.

 Using le logiciel de bytes de Malware sembler pouvoir détecter le virus, mais si c'est que le même virus, il infecte les fichiers système qui sont importants et également les restaurations sur le PC. Nous ne pouvions pas trouver une manière alternative d'enlever l'entaille du PC régulier sans réinstaller complètement le du système d'exploitation.

N'est pas probablement ce ce que vous avez voulu entendre, mais si tout va bien notre cauchemar vous aidera à résoudre votre problème et peut-être vous pouvez trouver une manière autour de perdre toutes vos données.