<div dir="ltr">Ahoj,<div><br></div><div style>ten proces muze byt klidne samotne php, pokud mu nekdo vyhakoval nejaky web. Pres exec a sockety se v php daji delat divy.</div><div style><br></div><div style>Stejne tak se muze proces maskovat za jiny, tzn. nazev procesu nemusi odpovidat tomu, co doopravdy bezi.</div>
<div style><br></div><div style>Pro cca lokalizovani problemu bych treba stopnul apache a podival se, jestli utoky bezi dal. Pokud ano, je to pres nejaky vyhakovany web. Na skodu neni ani nainstalovat rkhunter a provest # rkhunter -c pro kotrolu nejznamejsich backdooru.</div>
<div style><br></div><div style>-wn</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">Dne 10. dubna 2013 19:04 Tibor Szolár <span dir="ltr"><<a href="mailto:Tibor.Szolar@seznam.cz" target="_blank">Tibor.Szolar@seznam.cz</a>></span> napsal(a):<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Ahoj,<br>
<br>
obratil se na mne jeden znamy s tim, ze mu hacknuli server a provadi<br>
se z nej utoky ven. Od providera dostal nasledujici log a varovani, ze<br>
pokud to nezastavi, bude omezen pristup k serveru:<br>
<br>
15:45:<a href="tel:43.268046%2000" value="+14326804600">43.268046 00</a>:1b:ed:2c:4d:00 > 40:55:39:2f:76:51, ethertype<br>
802.1Q (0x8100), length 78: vlan 251, p 0, ethertype IPv4,<br>
__ip_serveru__.44808 > 151.151.88.66.80: S 3635552392:3635552392(0)<br>
win 5840<br>
15:45:43.294598 00:1b:ed:2c:4d:00 > 40:55:39:2f:76:51, ethertype<br>
802.1Q (0x8100), length 78: vlan 251, p 0, ethertype IPv4,<br>
__ip_serveru__.45447 > 151.151.88.66.80: S 3632320507:3632320507(0)<br>
<br>
Bezi mu tam stare Ubuntu 10.04 s OpenPanelem a par webama, ktere<br>
zrejmne nebylo docela dlouho updatovane.<br>
<br>
Ve vypisu netstatu (netstat -tunap) se obcas objevuje pripojeni ven na<br>
porty 80 a 443 ve stavu SYN_SENT pricemz vetsinou se jedna o weby<br>
nejakych zahranicnich bankovnich instituci.<br>
<br>
Bohuzel se mi zatim nepodarilo vypatrat proces, ktery to provadi. V<br>
bezicich procesech se nezda byt zadny podezrely a ani server<br>
neposloucha na zadnych podivnych portech. V netstatu se zrovna u<br>
techto podezrelych pripojeni ven PID bohuzel nevypisuje.<br>
<br>
Setkal se nekdo s necim podobym? Budu rad za kazdy postreh. :-)<br>
<br>
S pozdravem<br>
<span class="HOEnZb"><font color="#888888">Tibor Szolár<br>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</font></span></blockquote></div><br></div>