Вопрос : Как мой сервер был скомпрометирован?

Hi, вебсайт

My было прорезано. Насколько я могу сказать только архив сноски PHP был отредактирован, с злостым Кодим iframe добавил что попытки установить вирус через браузер. Подобное нападение произошло приблизительно 8 месяцев тому назад. Я не уверен если это будет таким же атакующим или ли был использован, то такой же метод входа (увиливал меня).

This был сценарий обеспеченностью в самом последнем нападении:
- апаш бежало под своим собственным
- потребителя/группы (не никто) редактируемый архив сноски, котор имел позволения - rw-r--r-- и не имел апашем или nobody

I не верит атакующий имеет доступ SSH. Я верю брешь в системе безопасности находится в слое веб-приложение. Мое вебсайт признавает uploads архива и дает потребителям способность установить изготовленный на заказ листы типа хозяйничаются на сервере. Однако, я уверен что я не исполняю любые из этих вещи по мере того как Кодий PHP, и кроме того, оно невозможно для апаша/php для того чтобы доработать архив сноски должный к своим владению и позволению. Как smog этот архив быть отредактирован? Как smogли потребитель повысить их привилегированность от потребителя стержня к предпринимателю архива (или высокие)? Мой собственный клиент был скомпрометирован? Я побежал каждая программа rootkit, котор я smog не найти - на моем сервере и моем клиенте - и найти ничего. Я посмотрел мои журналы ssh, lastlog, .bash_history - не smogл увидеть что-нибыдь. Я не верю пароль and/or ключ pub были украдены. Я бегу ubuntu, но также, котор побежали WinXP как виртуальная машина - это будет единственное уязвимость, котор я могу думать на моего

Help client.

PHP 5.2.13
Apache/2.2.12
Linux 2.6.18-194.8.1.el5PAE (Centos)!

Thanks
class=

Ответ : Как мой сервер был скомпрометирован?

Вы можете или не можете терпеть от точно такое же нападение, котор мы недавн шли до конца, но оно звучает как оно. После дней restorals и изменяя паролей и его случаясь все с начала - в конце мы нашли одна персона была заражена сразу на их pc с вирусом записи нажатие клавиши.

 Как только атакующий мог схватить потребителя ftp корня и pw, они могли заразить и распространить через вне тот полный сервера и в польза нескольких случаев они нашли для того чтобы ударить другого сервера через тот хозяина.

 Они также пытались схватить средство программирования info ftp и как раз случайно угадать на паролях для того чтобы приобрести первоначально доступ, котор они уже не получили.

 Он принял почти 2 недели к вполне стопу и восстанавливает все места от проблемы. Зараженный потребитель должен вполне заново установить 3 из их операционных систем компьютера. После этого мы восстановили подпорки где мы имели их и ручно, котор извлекли от других мест не имели значительно достаточную подпорку с мотыгой. После этого изменил каждый pw для каждого места к что-то новому и более трудному.

 Using средство программирования байт Malware покажитесь, что мочь обнаружить вирус, но если оно, то что такой же вирус, оно заражает и системные файлы которые будут важны и также восстановлени на pc. Мы были неспособны найти другую дорогу извлечь мотыгу от регулярно pc без вполне заново устанавливать операционную систему.

Это вероятно не вы хотели услышать, но многообещающий наш кошмар поможет вам разрешить вашу проблему и возможно вы можете найти дорогу вокруг терять все ваши данные.