hack serveru (spam zombie?) - VYRESENO

Milan Cizek cizek.milan at seznam.cz
Sun Jun 7 13:26:44 CEST 2009


Ahoj,
tak jsem vse po dlouhem patrani nakonec uvedl do cisteho stavu. Cely problem
vznikl prolomenim jednoho FTP uctu, doposud není tedy jasne jak, jelikoz
dotycny pouziva vyhradne MacOS a od jinud se nepripojuje, nicmene jeho login
tam jasne figuroval - nejakym zpusobem se dostal ven. Utocicich PC bylo asi
20, vse ze stejne domeny (farma). Utok probihal nasledovne. Pomoci FTP byl
na web nahran php skript s nahodnym jmenem, nasledne byl vygenerovan
pozadavek, který jej spustil. Tento php skript vygeneroval do /tmp nahodne
pojmenovany .pl skript, který spustil a nasledne smazal. Nasledovalo
odstraneni puvodniho php skriptu (ftp). Na vse jsem prisel po delsim
prochazeni ftp/apache logu. Nebylo to snadne, protože tech zakernych FTP
uploadu bylo pouze 10-20x denne a v logu se to ztracelo v beznem provozu.
Diky vsem za pomoc.

Milan




More information about the Users-l mailing list