Questione : Come il mio assistente è stato compromesso?

Ciao, il Web site del

My è stato penetrato. Per quanto posso dire soltanto una lima della persona alta un dato numero di piedi del PHP sono stato pubblicato, con un codice cattivo di iframe ha aggiunto che tentativi di installare un virus via il browser. Un simile attacco si è presentato circa 8 mesi fa. Non sono sicuro se è lo stesso attaccante o se lo stesso metodo di entrata è stato usato (che lo ha eluso). il

This era il piano d'azione di sicurezza nell'ultimo attacco: il
- apache stava funzionando nell'ambito del relativo proprio
- che gruppo/dell'utente (non nessuno) la lima pubblicata della persona alta un dato numero di piedi ha avuta permessi - rw-r--r-- e non è stato posseduto da apache o il nobody

I non crede che l'attaccante abbia accesso di SSH. Credo che il buco di sicurezza sia nello strato di applicazione Web. Il mio Web site accetta i uploads della lima e dà ad utenti la capacità di installare gli strati di stile su ordinazione che sono ospitati sull'assistente. Tuttavia, sono sicuro che non sto eseguendo qualcuno di questi cose poichè il codice del PHP ed inoltre, esso è impossible per apache/PHP da modificare la lima della persona alta un dato numero di piedi dovuto la relativi proprietà e permesso. Come potrebbe questa lima essere pubblicata? Come potrebbe l'utente elevare il loro privilegio dall'utente di fotoricettore al proprietario della lima (o l'più alti)? Il mio proprio cliente è stato compromesso? Ho fatto funzionare ogni programma che del rootkit potrei non trovare - sul mio assistente e sul mio cliente - e trovare niente. Ho esaminato i miei ceppi dello ssh, lastlog, .bash_history - non potrebbe vedere qualche cosa. Non credo che una parola d'accesso e/o una chiave del pub siano state rubate. Faccio funzionare il ubuntu, ma WinXP anche funzionato come macchina virtuale - questa è l'unica vulnerabilità che posso pensare sul mio

Help di client.

PHP 5.2.13
Apache/2.2.12
Linux 2.6.18-194.8.1.el5PAE (Centos)!

Thanks
class= del

Risposta : Come il mio assistente è stato compromesso?

Voi maggio o maggio non soffrire dall'esatto lo stesso attacco recentemente siamo andato attraverso, ma suona come esso. Dopo i giorni dei restorals e delle parole d'accesso cambianti ed esso che accade ancora una volta - alla fine abbiamo trovato che una persona è stata infettata direttamente sul loro pc con un virus della registrazione di battitura.

 Una volta che l'attaccante potesse afferrare un utente del ftp della radice e un pw, potevano infettare e spargersi tramite fuori quell'assistente pieno ed usare in alcuni casi che cosa hanno trovato per colpire un altro assistente tramite quell'ospite.

 Inoltre stavano provando ad afferrare il software Info del ftp ed ad indovinare appena a caso alle parole d'accesso per guadagnare l'accesso che iniziale già non avévano ottenuto.

 Ha richiesto quasi 2 settimane completamente all'arresto e ristabilisce tutti i luoghi dal problema. L'utente infettato ha dovuto completamente reinstallare 3 dei loro sistemi operativi del calcolatore. Allora abbiamo ristabilito i sostegni in cui li abbiamo avuti e rimossi manualmente da altri luoghi che non hanno avuti un lontano abbastanza sostegno con l'incisione. Allora ha cambiato ogni pw per ogni luogo a qualche cosa di nuovo e più difficile.

 Using il software di byte di Malware sembrare potere rilevare il virus, ma se è che lo stesso virus, esso infetta sia le lime di sistema che sono importanti che anche i restauri sul pc. Non potevamo trovare un senso alternativo rimuovere l'incisione dal pc normale senza completamente reinstallare il sistema operativo.

Ciò probabilmente non è che cosa avete voluto sentire, ma eventualmente il nostro incubo lo aiuterà a risolvere il vostro problema e forse potete trovare un senso intorno a perdere tutti i vostri dati.