[LUGOS] kdo je zapisal datoteko v /tmp
Borut Mrak
b at aufbix.org
Tue Jun 4 18:41:04 CEST 2013
On Tue 04 Jun 2013 03:52:25 PM CEST, robi @ carnium wrote:
> ----- Original message -----
> > Borut Mrak je dne 04. 06. 2013 14:20 napisal/a:
> > > Kaj pa sploh je v datoteki?
>
> zivjo,
>
> poročilo maldeta:
> ---
> FILE HIT LIST:
> {HEX}php.cmdshell.cih.215 : /tmp/phpMoeWdR
> {MD5}php.injector.genol.6184 : /tmp/php8ydK09
> ---
>
> ko sem sedajle želel pogledati datoteki, ni bilo nobene več ...
>
>
> sem grepal po logih, nikjer ni bilo nobenega zapisa o zgornjih datotekah
Za php.injector.genol.6184 imaš verjetno na voljo md5sum in lahko
poiščeš po disku...
Preglej vse web strani na strežniku, če je v njihovem docrootu datoteka
take velikosti (to imaš, ne?), kot je bila v /tmp. Oz. načeloma lahko
pogledaš kar po celem sistemu, če nimaš ravno terabajtov podatkov.
Da še dodatno preveriš če je prava, uporabiš md5sum.
Imaš veliko obiska na spletnih straneh (gre za večji hosting), ali je
to bolj mala zadeva? Če slednje, mogoče lahko narediš korelacijo med
datumom datotek v /tmp in spletno stranjo, v kateri je luknja.
Ampak čisto možno je, da ne boš nič našel. Ali ker se ni nič zapisalo
drugam kot v /tmp, ali pa zato, ker je strežnik že zrootan in ne vidiš
procesa od vlomilcev :)
Če hočeš bit 100%, si OFFLINE naredi kopijo podatkov in preveri na 100%
čistem računalniku (ali npr. z livecd) z istim orodjem. Če nič ne
najde, si verjetno OK.
lp,
Borut.
More information about the lugos-list
mailing list