Namierzyć hakera

[stvoor]

Mam od tygodnia duży problem - ktoś cały czas podmienia mi stronę na serwerze, sprawdziłem wszystkie możliwe logi wg mojej wiedzy i absolutnie nie ma tam NIC.
A ponieważ robi to kilka razy dziennie (po tym jak strona zostanie postawiona) to mam już dosyć, właściwie to desperacja bo nie wiem czego się złapać.

Zacząłem od zmiany wszystkich haseł, kilkukrotnie - nic to nie dało.

Potem sprawdziłem jak wrzuca pliki i tak zacząłem od sprawdzenia logowań na konto poprzez SSH poprzez polecenie last - nie znalazłem tam nic - tylko moje logowania z mojego IP - zarówno ftp jak i ssh.

Na wszelki wypadek wyłączyłem shella dla konta, ale to nic nie zmieniło.

Doszedłem do wniosku, że wrzucił jakiegoś PHPshella, sprawdziłem access_log - w szczególności odwołania POST i pliki php, które były wywoływane - NIC.

I dalej nie wiem co mam robić - skoro plik nie jest modyfikowany przez shella, FTP ani http to są jeszcze jakieś drogi?? W .bash_history roota też ani śladu komend innych niż moje.

Skoro nie mogłem znaleźć przyczyny zacząłem leczyć skutek. Najpierw dałem prawa do pliku index.php 444 - nic to nie dało, plik podmieniony i prawa 777.

Zmieniłem więc właściciela pliku na roota z prawami 444. W efekcie podmieniony na plik z prawami 777 z właścicielem ... userem(!) Zdaje się, że plik roota w katalogu usera może zostać przez usera skasowany bo katalog należy do niego. Ale to takie doraźne działanie, bo nie chce żeby ktoś mi grasował po serwerze, bo pomysły mi się skończyły stąd prośba o pomoc

Sprawdziłem też log crona - żadnych podejrzanych wywołań na istniejących kontach (konta wszystkie moje, serwer dedykowany). A jednak w kotka i myszke - ja przywracam plik, po kilkunastu minutach/godzinach plik podmieniony

Właściwie to jestem już skrajnie zdesperowany (( Serwer chodzi na PLESKu 8.2

[1709]

Zmieniłbym oprogramowanie na serverze jeśli to możliwe,
twoja strona tez nie wiem czy może być bezpieczna ,
jesli to czysta kopia orginału to zapewne jest bezpieczna,
jeśli nie , to może ma virusa lub dziure.

[micu]

Witam,

Polecam sprawdzić cały ruch sieciowy do i z serwera. Można to zrobić na kilka sposobów, najprościej to podłączyć jakiś komputer (np. laptop) z Linuksem i tcpdump-em/Wiresharkiem nagrać a potem zanalizować kto i kiedy łączy się do maszyny. Na czas operacji serwer i komputer powinieneś podłączyć do huba sieciowego (nie przez switch!).
Żadnym programom i poleceniom, które są na podejrzanym serwerze, nie możesz ufać (rootkit).
Ostatecznie i tak zapewne czeka Cię reinstalacja systemu od zera.

Pozdrawiam
micu

[fellersk29]

Używasz jakiejś zapory? iptables dobrze skonfigurowane? Wypluwa jakieś podejrzane rekordy?

[rilicek]

Używasz jakiejś zapory? iptables dobrze skonfigurowane? Wypluwa jakieś podejrzane rekordy?

A ja właśnie namierzyłem bezczelnego trolla reklamowego.

[fellersk29]

A Ty niby co masz w podpisie? Moja wypowiedź nie jest jakoś niezgodna z regulaminem, a w stopce można umieścić link do swojej strony - regulamin tego nie zabrania.

[Lion94]

W Plesku wejdź w opcję Maintence > Reinstall, następnie zostawiasz opcję pierwszą (old) ze starymi plikami, przeinstalowywuje system. Potem wchodzisz po skonczonej reinstalce do katalogu old i kopiujesz swoje rzeczy na /home/user (jeżeli nie masz tego panelu, to robisz backup danych i stawiasz od nowa system).

Pozdrawiam, Lion.

[Paweł Kraszewski]

A Ty niby co masz w podpisie?

Czy nie uważasz, że na forum Linuksowym stopka do strony do ściągnięcia OpenSUSE jest OK, a strona do idiotycznego wpisu na forum nie mającego nic wspólnego z Linuksem nie do końca jest OK? Jak popatrzysz na historię, to generalnie stopki SEO są tępione.

Moja wypowiedź nie jest jakoś niezgodna z regulaminem

A co do niezgodności z regulaminem - Twój post łamie punkt 3f "nie pisz postów które nie wnoszą nic do tematu, czyli tak zwane OT-y,". Powód? Oryginalny wątek został zamknięty ponad rok temu.