OVH Community, your new community space.

Jakaś dziurka gdzieś :) - jak znaleźć ?


mario1973
11-04-2012, 15:48
Cytat Napisał WMP
Podaj domene
- dobre, dobre.
Zresztą gdybym sam znał pod jaką domeną to się przypięło, to bym znalazł szybciutko.


Cytat Napisał h8g923
Najłatwiej przeszukać katalogi pod względem plików php modyfikowanych w ostatnich dniach / tygodniach. Zazwyczaj wyskakuje wszystko zainfekowane, widać inne czasy niż reszty plików
W tym jednak przypadku nie jestem przekonany czy to świeża sprawa... To mogą być kiedyś podrzucone pliki w witrynach i przeniesione na serwer.

Przeleciałem większość plików i w dwóch miejscach znalazłem 4 pliki z shellami - na 99% stare. Znalazłem je bo nie były kodowane i zawierały podejrzaną zawartość.

Zobaczymy czy się powtórzą komunikaty w error logach.

M

h8g923
11-04-2012, 00:04
Najłatwiej przeszukać katalogi pod względem plików php modyfikowanych w ostatnich dniach / tygodniach. Zazwyczaj wyskakuje wszystko zainfekowane, widać inne czasy niż reszty plików

WMP
10-04-2012, 19:44
Podaj domene

mario1973
10-04-2012, 15:00
Dziś w error logach Apache znalazłem niepokojące wpisy

"which: no get in (/usr/local/bin:/usr/bin:/bin)
which: no fetch in (/usr/local/bin:/usr/bin:/bin)
which: no links in (/usr/local/bin:/usr/bin:/bin)
which: no kav in (/usr/local/bin:/usr/bin:/bin)
which: no nod32 in (/usr/local/bin:/usr/bin:/bin)
which: no bdcored in (/usr/local/bin:/usr/bin:/bin)
which: no uvscan in (/usr/local/bin:/usr/bin:/bin)
which: no sav in (/usr/local/bin:/usr/bin:/bin)"

ewidentnie to wykonał jakiś podrzucony pliczek z shellem.... - zacząłem czesać serwerka. Jeszcze nic nie znalazłem...

Macie może jakieś swoje sugestie czego szukać ?

M