Vraag : Hoe is mijn server gecompromitteerd?

Hallo,/>My is de website


This was het veiligheidsscenario in de recentste aanval:
- apache liep onder zijn eigen gebruiker/groep (niet niemand)
- het uitgegeven footer dossier toestemmingen - rw-r had--r-- en niet werd bezeten door apache of nobody

I niet de aanvaller toegang SSH heeft. Ik geloof het veiligheidsgat in de laag van de Webtoepassing is. Mijn website keurt goed het dossier en gebruikers de capaciteit uploadt geeft om de bladen van de douanestijl te installeren die op de server worden ontvangen. Nochtans, ben ik bepaald dat ik geen van deze dingen als PHP code uitvoer, en bovendien, het is onmogelijk voor apache/php om het footer dossier te wijzigen toe te schrijven aan zijn eigendom en toestemming. Hoe kon dit dossier zijn uitgegeven? Hoe kon de gebruiker hun voorrecht van de Webgebruiker aan de dossier opheffen eigenaar (of hoger)? Is mijn eigen cliënt gecompromitteerd? Ik stelde elk rootkitprogramma in werking ik kon vinden en - op mijn server en mijn cliënt - niets vinden. Ik bekeek mijn sshlogboeken, lastlog, .bash_history - kon niet om het even wat zien. Ik geloof geen wachtwoord en/of werd de barsleutel gestolen. Ik stel ubuntu in werking, maar ook stel WinXP in werking aangezien een virtuele machine - dit is de enige kwetsbaarheid ik van op mijn client.

PHP 5.2.13
Apache/2.2.12
Linux 2.6.18-194.8.1.el5PAE (Centos)

Help kan denken!

Thanks

Antwoord : Hoe is mijn server gecompromitteerd?

U kunt of kunt aan de nauwkeurige zelfde aanval lijden niet wij onlangs door zijn gegaan, maar het klinkt als het. Na dagen van restorals en veranderende wachtwoorden en het die helemaal opnieuw gebeuren - uiteindelijk dat wij één persoon besmet=werd= direct op hun PC met een virus van de aanslagopname hebben gevonden.

 Zodra de aanvaller een gebruiker van wortelFTP kon grijpen en pw, konden zij door uit die volledige server besmetten en uitspreiden en in sommige gevallen gebruiken wat zij vonden om een andere server door die gastheer te raken.

 Zij probeerden ook om FTP- softwareinfo te grijpen en enkel willekeurig bij wachtwoorden te veronderstellen om aanvankelijke toegang te verkrijgen die zij niet reeds waren geworden.

 Het vergde bijna 2 weken om alle plaatsen van het probleem volledig tegen te houden en te herstellen. De besmette gebruiker moest 3 van hun computer werkende systemen volledig opnieuw installeren. Dan herstelden wij files waar wij hen hadden en manueel uit andere plaatsen verwijderden die niet verre genoeg reserve met de houwer hadden. Dan ruilde elke pw voor elke plaats in iets nieuw en moeilijker.

 Gebruikend de software van Bytes Malware schijn het virus kunnen ontdekken, maar als het dat zelfde virus is, besmet het zowel de systeemdossiers die belangrijk zijn en ook herstelt op PC. Wij konden een alternatieve manier vinden niet om de houwer uit regelmatige pc's te verwijderen zonder het werkende systeem volledig opnieuw te installeren.

Dit waarschijnlijk is niet wat u wilde horen, maar zal onze nachtmerrie u hopelijk helpen uw probleem oplossen en misschien kunt u een manier rond het verliezen van al uw gegevens vinden.
Andere oplossingen  
 
programming4us programming4us