forum.opennet.ru

Составление сообщения

Исходное сообщение

"В результате атаки Windigo вредоносным ПО поражены более 25 ..."
Отправлено dimasp, 19-Мрт-14 16:56

у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль апача, и добавляли строчку с этим модулем в httpd.conf. и мой веб-сервер начинал хаотично
вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, фарефоксе и хроме.
с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), но как они это делали, я до сих пор не понимаю, т.к. никто по ssh не подключался. у меня подозрение, что есть какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти файлы от root. больше идей нет. и sudo у меня там не установлено.
и решил я пока на каталог с модулями апача и на httpd.conf поставить флаги schg. и если эту атаку делает извне робот, то он даже от рута не сможет хотя бы поменять настройки апача. а есть подозрение, что это робот, потому что в измененном httpd.conf появлялись ^M.
и пока живу так, отслеживая изменение файлов в tripwire.

Исходное сообщение
"В результате атаки Windigo вредоносным ПО поражены более 25 ..." Отправлено dimasp, 19-Мрт-14 16:56
у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль апача, и добавляли строчку с этим модулем в httpd.conf. и мой веб-сервер начинал хаотично вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, фарефоксе и хроме. с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), но как они это делали, я до сих пор не понимаю, т.к. никто по ssh не подключался. у меня подозрение, что есть какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти файлы от root. больше идей нет. и sudo у меня там не установлено. и решил я пока на каталог с модулями апача и на httpd.conf поставить флаги schg. и если эту атаку делает извне робот, то он даже от рута не сможет хотя бы поменять настройки апача. а есть подозрение, что это робот, потому что в измененном httpd.conf появлялись ^M. и пока живу так, отслеживая изменение файлов в tripwire.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль 
> апача, и добавляли строчку с этим модулем в httpd.conf. и мой 
> веб-сервер начинал хаотично 
> вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это 
> быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, 
> фарефоксе и хроме.
> с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), 
> но как они это делали, я до сих пор не понимаю, 
> т.к. никто по ssh не подключался. у меня подозрение, что есть 
> какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти 
> файлы от root. больше идей нет. и sudo у меня там 
> не установлено.
> и решил я пока на каталог с модулями апача и на httpd.conf 
> поставить флаги schg. и если эту атаку делает извне робот, то 
> он даже от рута не сможет хотя бы поменять настройки апача. 
> а есть подозрение, что это робот, потому что в измененном httpd.conf 
> появлялись ^M.
> и пока живу так, отслеживая изменение файлов в tripwire.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру