Вопрос : Как мой сервер был скомпрометирован?

Hi, вебсайт

My было прорезано. Насколько я могу сказать только архив сноски PHP был отредактирован, с злостым Кодим iframe добавил что попытки установить вирус через браузер. Подобное нападение произошло приблизительно 8 месяцев тому назад. Я не уверен если это будет таким же атакующим или ли был использован, то такой же метод входа (увиливал меня).

This был сценарий обеспеченностью в самом последнем нападении:
- апаш бежало под своим собственным
- потребителя/группы (не никто) редактируемый архив сноски, котор имел позволения - rw-r--r-- и не имел апашем или nobody

I не верит атакующий имеет доступ SSH. Я верю брешь в системе безопасности находится в слое веб-приложение. Мое вебсайт признавает uploads архива и дает потребителям способность установить изготовленный на заказ листы типа хозяйничаются на сервере. Однако, я уверен что я не исполняю любые из этих вещи по мере того как Кодий PHP, и кроме того, оно невозможно для апаша/php для того чтобы доработать архив сноски должный к своим владению и позволению. Как smog этот архив быть отредактирован? Как smogли потребитель повысить их привилегированность от потребителя стержня к предпринимателю архива (или высокие)? Мой собственный клиент был скомпрометирован? Я побежал каждая программа rootkit, котор я smog не найти - на моем сервере и моем клиенте - и найти ничего. Я посмотрел мои журналы ssh, lastlog, .bash_history - не smogл увидеть что-нибыдь. Я не верю пароль and/or ключ pub были украдены. Я бегу ubuntu, но также, котор побежали WinXP как виртуальная машина - это будет единственное уязвимость, котор я могу думать на моего

Help client.

PHP 5.2.13
Apache/2.2.12
Linux 2.6.18-194.8.1.el5PAE (Centos)!

Thanks
class=

Ответ : Как мой сервер был скомпрометирован?

Вы можете или не можете терпеть от точно такое же нападение, котор мы недавн шли до конца, но оно звучает как оно. После дней restorals и изменяя паролей и его случаясь все с начала - в конце мы нашли одна персона была заражена сразу на их pc с вирусом записи нажатие клавиши.

 Как только атакующий мог схватить потребителя ftp корня и pw, они могли заразить и распространить через вне тот полный сервера и в польза нескольких случаев они нашли для того чтобы ударить другого сервера через тот хозяина.

 Они также пытались схватить средство программирования info ftp и как раз случайно угадать на паролях для того чтобы приобрести первоначально доступ, котор они уже не получили.

 Он принял почти 2 недели к вполне стопу и восстанавливает все места от проблемы. Зараженный потребитель должен вполне заново установить 3 из их операционных систем компьютера. После этого мы восстановили подпорки где мы имели их и ручно, котор извлекли от других мест не имели значительно достаточную подпорку с мотыгой. После этого изменил каждый pw для каждого места к что-то новому и более трудному.

 Using средство программирования байт Malware покажитесь, что мочь обнаружить вирус, но если оно, то что такой же вирус, оно заражает и системные файлы которые будут важны и также восстановлени на pc. Мы были неспособны найти другую дорогу извлечь мотыгу от регулярно pc без вполне заново устанавливать операционную систему.

Это вероятно не вы хотели услышать, но многообещающий наш кошмар поможет вам разрешить вашу проблему и возможно вы можете найти дорогу вокруг терять все ваши данные.
Другие решения  
  •  Как я добавляю кнопки на форме PDF для того чтобы добавить/извлекаю рядки данных?
  •  Шнур ошибки в блоке задвижки?
  •  сколько вариант сервера SQL на одной машине
  •  Внешний вид 2007 не может архивный файл открытой сети сохраненный
  •  Активно директория DNS записывает вопрос
  •  Отчет о доступа 2010 экспорта к CSV с коллекторами?
  •  Прокладчик OCE 9400 не начинает
  •  как добавить десятичное место в формуле в отчете о кристалла seagate
  •  Windows XP и Мичрософт Оутлоок и проблемы установителя Windows
  •  VB6 к VS2010 - консультации тренировки?
  •  
    programming4us programming4us