Fråga : Hur har min server kompromissats?

Hi har websiten för

My trängts igenom. Så långt, som jag kan berätta endast en PHP-footer sparar har redigerats, med en ondsint iframe kodifiera ökat att försök att installera en virus via webbläsaren. En liknande attack uppstod ungefärligt 8 månader sedan. Förmiddag I, om det är den samma angriparen eller huruvida den samma metoden av tillträdeet, användes inte sure (som har undsluppit mig).

This var säkerhetsscenariot i den senaste attacken:
- apache var rinnande under dess egna
- för användaren/för gruppen (inte ingen) som den redigerade footeren sparar hade tillåtelser - rw-r--r-- och ägdes inte av apache, eller nobody

I tror inte angriparen har SSH att ta fram. Jag tror säkerheten spela golfboll i hål är i lagrar för rengöringsdukapplikationen. Min website accepterar sparar uploads och ger användare kapaciteten att installera beställnings- utformar täcker som varas värd på serveren. Emellertid den bestämda I-förmiddagen, att I-förmiddagen som inte utför några av dessa saker som PHP kodifierar, och dessutom, det är omöjligt att apache/php ändrar footeren sparar tack vare dess äganderätt och tillåtelse. Hur kunde detta spara att ha redigerats? Hur kunde användaren höja deras privilegierar från rengöringsdukanvändaren till sparaägaren (eller högre)? Har min egna beställare kompromissats? Jag körde varje rootkitprogram som jag kunde finna - på min server och min beställare - och grunda ingenting. Jag såg min ssh loggar, lastlog, .bash_history - kunde inte se något. Jag tror inte ett lösenord, och/eller den nyckel- puben stals. Jag kör ubuntu, men också körda WinXP som ett faktiskt bearbetar med maskin - denna är den enda sårbarheten som jag kan funderare av på min

Help för client.

PHP 5.2.13
Apache/2.2.12
Linux 2.6.18-194.8.1.el5PAE (Centos)!

Thanks
" klar "

Svar : Hur har min server kompromissats?

Du kan eller kan inte lida från avkräva samma attack som vi har för en tid sedan väck igenom, men den låter något liknande det. Efter dagar av restorals och ändrande lösenord och den som händer all över igen - slutligen vi grundar en person smittades direkt på deras PC med en tangentslagsinspelningvirus.

 När angriparen var kompetent till hastigt grepp per en rotaftp-användare och pw, de var kompetent att smitta, och spridning till och med ut den fulla server och i vissa fall att använda vad de grundar för att slå en annan server till och med det, varar värd.

 De var också prövas till hastigt greppftp-programvara info, och hade gissningen på lösenord som precis på måfå når initialt, tar fram dem inte redan fått.

 Den tog nästan 2 veckor till fullständigt stoppet och återställandet alla platser från problemet. Den infekterade användaren måste fullständigt att återinstallera 3 av deras datorfungeringssystem. Därefter vi återställde reserver var vi hade dem och som tog manuellt bort från andra platser, som inte hade en långt nog reserv med hackan. Ändrade därefter varje pw för varje plats till något som var ny och som var svårare.

 Using Malware byteprogramvara verka för att vara kompetent att avkänna viruset, men, om det är att samma virus, det smittar både, systemet sparar som är viktig och också återställandena på PC:n. Vi var oförmögna att finna ett alternativ långt för att ta bort hackan från stamgästPCen, utan fullständigt att återinstallera fungeringssystemet.

Detta är antagligen inte vad du önskade att höra, men hopefully vår mardrömmen ska hjälp du löser ditt problem, och kanske du kan finna a långt runt om att förlora alla dina data.