Security - blitt hacket

[xpenziuz]

Hei. har nå blitt angrepet fra en eller annen hacker som gjør at dette legger seg i www mappen min: http://moon67.sitemynet.com/

Hvordan kan disse komme inn, de har ikke kommet seg inn via ftp. Jeg har ikke peiling hvordan de kommer seg in.

Noen som har noen forslag som kan hjelpe meg å holde disse personene borte eller for å ikke la de slippe inn å få ødelegge ?

 

Takker for alle svar.

[CAT0]

Finnes milioner av måter å komme seg inn på.

 

Har du dårlig passord? en testbruker du glemte å gjerne? kjører du Awstats?

[xpenziuz]

Finnes milioner av måter å komme seg inn på.

 

Har du dårlig passord? en testbruker du glemte å gjerne? kjører du Awstats?

5608286[/snapback]

 

 

har oppdatert alle passord til et sikrere passord, men likevel har de komt seg in.

Kjører ikke awstats. men skal få det inn å se. Hva hjelper dette med ?

Firewall har kun de nødvendige porter opne fra utsiden, kan de være ftp som er synderen ? jeg kjører PROftpd.

[CAT0]

Du vil ikke kjøre Awstats, awstats er en måte å kjøre kode på maskinen din for folk utenfra.

 

Du burde nok bare pakke sammen sakene og ta en reinstall. Det kan være FTP som er synderen, du burde alltid kjøre ftp-servere i chroot.

[xpenziuz]

Ser ut som ftp kjører som nobody brukeren ? da er den vel chroot ?

[CAT0]

Ser ut som ftp kjører som nobody brukeren ? da er den vel chroot ?

5608428[/snapback]

Nei, da bruker den nobody brukeren

[xpenziuz]

hva må da til for å kjøre den i chroot ?

[pgdx]

Har du MySQL åpent ut? Har du SSHD? Hva sier /var/log/auth.log ?

[CAT0]

hva må da til for å kjøre den i chroot ?

5608508[/snapback]

Du må eksplisitt si at den skal kjøre chroot.

http://www.proftpd.org/docs/directives/lin...efaultRoot.html

 

 

Uansett ville jeg ha valgt pure-ftpd istedet for proftpd når du reinstaller (noe du bør gjøre).

[xpenziuz]

Har du MySQL åpent ut? Har du SSHD? Hva sier /var/log/auth.log ?

5608515[/snapback]

 

mysql er ikke opent ut. Har sshd

 

Auth.log sier at det har vert mangen "forsøk" på innbrudd, men de har aldrig kommet inn. så vet ikke hvordan de har kommet inn!

[phatsam]

Og eventuelt /var/log/messages

[xpenziuz]

Og eventuelt /var/log/messages

5608540[/snapback]

 

 

messages sier ikke noe uvanlig.

[CAT0]

Har du kjørt chkrootkit (http://www.chkrootkit.org) osv?

[Silvester]

Jeg tror det der er snakk om dårlig kode på de dynamiske sidene du evt. har hatt i webroot. phpBB og liknende har vært utsatt for slike feil. Jeg tror nok resten av systemet er urørt.

[pgdx]

La oss ta det fra scratch...

 

Hvilke distro kjører du? Kjører du Apache? PHP? Hvilke kjerne har du? Har FTP tilgang til /var/www/ (om det i det heletatt er din webbane)?

[xpenziuz]

La oss ta det fra scratch...

 

Hvilke distro kjører du? Kjører du Apache? PHP?  Hvilke kjerne har du? Har FTP tilgang til /var/www/ (om det i det heletatt er din webbane)?

5609954[/snapback]

 

 

Kjører debian, kernel 2.4.18 om jeg ikke tar feil. kjører apache 1.3.1 med php 5.0.5. Det er ikke tilgang til /home/www som er min webbane.

 

Har oppdatert til 2.4.27 om jeg ikke tar feil, skal vel bare være å ta en reboot før den er i den kernelen. Websystemet som jeg brukte var e107, kan det være dette som ikke er helt uten hull ?

[Torbjørn]

hvilke tjenester kjører du? php er ingen tjeneste.

 

hva har du blokkert i firewall?

 

leser du LogWatch m/venner som du får tilsendt hver dag?

[pgdx]

Ikke se bort fra at det er e107 som er årsaken!

http://secunia.com/advisories/17237/