10 Apr
2013
10 Apr
'13
5:09 p.m.
Ahoj,
ten proces muze byt klidne samotne php, pokud mu nekdo vyhakoval nejaky
web. Pres exec a sockety se v php daji delat divy.
Stejne tak se muze proces maskovat za jiny, tzn. nazev procesu nemusi
odpovidat tomu, co doopravdy bezi.
Pro cca lokalizovani problemu bych treba stopnul apache a podival se,
jestli utoky bezi dal. Pokud ano, je to pres nejaky vyhakovany web. Na
skodu neni ani nainstalovat rkhunter a provest # rkhunter -c pro kotrolu
nejznamejsich backdooru.
-wn
Dne 10. dubna 2013 19:04 Tibor Szolár <Tibor.Szolar(a)seznam.cz> napsal(a):
Ahoj,
obratil se na mne jeden znamy s tim, ze mu hacknuli server a provadi
se z nej utoky ven. Od providera dostal nasledujici log a varovani, ze
pokud to nezastavi, bude omezen pristup k serveru:
15:45:43.268046 00:1b:ed:2c:4d:00 > 40:55:39:2f:76:51, ethertype
802.1Q (0x8100), length 78: vlan 251, p 0, ethertype IPv4,
__ip_serveru__.44808 > 151.151.88.66.80: S 3635552392:3635552392(0)
win 5840
15:45:43.294598 00:1b:ed:2c:4d:00 > 40:55:39:2f:76:51, ethertype
802.1Q (0x8100), length 78: vlan 251, p 0, ethertype IPv4,
__ip_serveru__.45447 > 151.151.88.66.80: S 3632320507:3632320507(0)
Bezi mu tam stare Ubuntu 10.04 s OpenPanelem a par webama, ktere
zrejmne nebylo docela dlouho updatovane.
Ve vypisu netstatu (netstat -tunap) se obcas objevuje pripojeni ven na
porty 80 a 443 ve stavu SYN_SENT pricemz vetsinou se jedna o weby
nejakych zahranicnich bankovnich instituci.
Bohuzel se mi zatim nepodarilo vypatrat proces, ktery to provadi. V
bezicich procesech se nezda byt zadny podezrely a ani server
neposloucha na zadnych podivnych portech. V netstatu se zrovna u
techto podezrelych pripojeni ven PID bohuzel nevypisuje.
Setkal se nekdo s necim podobym? Budu rad za kazdy postreh. :-)
S pozdravem
Tibor Szolár
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list