Pergunta : Como meu usuário foi comprometido?

Olá!, o Web site do

My foi penetrado. Tanto quanto eu posso dizer somente uma lima do pé de página do PHP fui editado, com um código malicioso do iframe adicionou que tentativas de instalar um vírus através do navegador. Um ataque similar ocorreu aproximadamente 8 meses há. Eu não sou certo se é o mesmo atacante ou se o mesmo método da entrada estêve usado (que me iludiu). o

This era a encenação da segurança no ataque o mais atrasado: o
- apache estava funcionando sob seu próprio
- que do usuário/grupo (não ninguém) a lima editada do pé de página teve as permissões - rw-r--r-- e não foi possuído por apache ou o nobody

I não acredita que o atacante tem o acesso de SSH. Eu acredito que o buraco em a segurança está na camada da aplicação web. Meu Web site aceita transferências de arquivo pela rede da lima e dá a usuários a habilidade de instalar as folhas de estilo feitas sob encomenda que são hospedadas no usuário. Entretanto, eu estou certo que eu não estou executando qualqueras um coisas porque o código do PHP, e adicionalmente, ele é impossível para apache/PHP modificar a lima do pé de página devido a suas posse e permissão. Como poderia esta lima ter sido editada? Como poderiam o usuário elevar seu privilégio do usuário de correia fotorreceptora ao proprietário da lima (ou o mais elevados)? Meu próprio cliente foi comprometido? Eu funcionei cada programa que do rootkit eu poderia não encontrar - em meu usuário e em meu cliente - e encontrar nada. Eu olhei meus registros do ssh, lastlog, .bash_history - não poderia ver qualquer coisa. Eu não acredito que uma senha e/ou uma chave do pub estiveram roubadas. Eu funciono o ubuntu, mas WinXP igualmente funcionado como uma máquina virtual - esta é a única vulnerabilidade que eu posso pensar em meu

Help de client.

PHP 5.2.13
Apache/2.2.12
Linux 2.6.18-194.8.1.el5PAE (Centos)!

Thanks
class= do

Resposta : Como meu usuário foi comprometido?

Você pode ou não pode sofrer do exato o mesmo ataque que nós fomos recentemente completamente, mas soa como ele. Após dias dos restorals e de senhas em mudança e ele que acontece mais uma vez - na extremidade nós encontramos que uma pessoa estêve contaminada diretamente em seu PC com um vírus da gravação da introdução por teclado.

 Uma vez que o atacante podia agarrar um usuário do ftp da raiz e um picowatt, podiam contaminar para fora e espalhar através desse usuário cheio e usar-se em alguns casos o que encontraram para bater um outro usuário através desse anfitrião.

 Igualmente estavam tentando agarrar a informação do software do ftp e sup-la apenas aleatòria em senhas para ganhar o acesso que inicial não tinham começ já.

 Tomou quase 2 semanas completamente ao batente e restaura todos os locais do problema. O usuário contaminado teve que completamente reinstalar 3 de seus sistemas de exploração de computador. Então nós restauramos os apoios onde nós os tivemos e removemoss manualmente de outros locais que não tiveram distante o suficiente um apoio com o corte. Mudou então cada picowatt para cada local a algo novo e mais difícil.

 Using o software dos bytes de Malware parecer poder detetar o vírus, mas se é que o mesmo vírus, ele contamina as limas de sistema que são importantes e igualmente as restaurações no PC. Nós éramos incapazes de encontrar uma maneira alternativa de remover o corte do PC regular sem completamente reinstalar o sistema de exploração.

Este não é provavelmente o que você quis se ouvir, mas esperançosamente nosso pesadelo ajudá-lo-á a resolver seu problema e talvez você pode encontrar uma maneira em torno de perder todos seus dados.