vir na webu (vyřešeno)

Ahoj všem, mám na serveru debian a na něm apache2. Několik webů. Na jeden web mě někdo hodil do indexu nakonec dva řádky s odkazem na nějakou sračku. Mám podezření na jednu osobu. Otázka je, najdu nějakou informaci v logu apache? Kdy a kdo popřípadě z které ip adresy změna toho souboru proběhla? Popřípadě co mám v logu hledat?

Tomáš

Pokud byl útočník hloupý a udělal jen změnu v souboru, tak z hodnoty času last modified u souboru a časů přilogování v /var/log/auth.log by bylo možné identifikovat potenciálného pachatele.

17.5.2011 18:04 Tarmaq | skóre: 39
Rozbalit Rozbalit vše Re: vir na webu

no pokud se utocnik pripojil pod pristupovymi udaji napadeneho tak to bude k nicemu, max tak ip adresa odkud se pripojil

Don't panic!

17.5.2011 19:59 Karlos
Rozbalit Rozbalit vše Re: vir na webu

setkal jsem se s tím už několikrát, je to ukradené nebo odhalené heslo k ftp. Přeheslovat projít všechny index.php a všechny soubory co mají v názvu "main" Ideální je kouknout na jeden modifikovanej soubor a podle datumu a času si vyhledat všechny modifikované soubory.

Jinak to bude v ftp logu.

18.5.2011 21:04 Kall Ell | skóre: 15
Rozbalit Rozbalit vše Re: vir na webu

situace ji jiná, ten vir tam byl, ale odstranil jsem ho. Byl to jen vloženej obrázek na konci souboru index.php. Jenže i po odstranění, hlásí chrome, že jsou stránky nebezpečné. IE je už v pohodě. Je možné aby byla IP adresa někde na blacklistu?

19.5.2011 08:24 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: vir na webu

Je to možné a pravděpodobné. Prohlížeče nebezpečnost stránky neanalyzují podle obsahu, ale používají právě blacklisty. Na odstranění z blacklistu je potřeba asi počkat – nikdy jsem neslyšel o tom, že by to někdo zkoušel řešit nějak aktivně.

Dotaz: vir na webu

Odpovědi