Virus v apache

Úterý Květen 26 20:54:42 CEST 2009

On Tue, May 26, 2009 at 07:56:36PM +0200, Ladislav Vaiz wrote:
> Ahoj,
> asi pred tydnem jsem si vsiml, ze mi misto html/php stranek zobrazuje 
> jen nejaky malware s redirektem na ruzne pochybne stranky. Rekl jsem si: 
> je to Sarge, muzu si za to sam. Tak jsem zkompiloval posledni verze 
> apache a php a zdalo se to byt OK. Ted se to ale objevilo znovu.
> V logu apache jsem objevil jen:
> nagano.cz ::1 - - [26/May/2009:19:20:51 +0200] "OPTIONS * HTTP/1.0" 200 
> - "-" "Apache/2.2.11 (Unix) PHP/5.2.9 (internal dummy connection)"

Neni to uplne obvykla radka z logu, ale porad se nic nedeje, kdyz se
nejaky skript -- obzvlaste, kdyz to ma povoleno -- pripojuje na
localhost port 80 a vyzada si "host: nagano.cz".

> Rad bych objevil, kudy tam to svinstvo leze. Upgrade vseho je vzhledem s 
> specialnim aplikacim dost narocny. Jak postupovat?

Zalezi na vas, jestli takove chovani neschvalujete, muzete zakazat
apachovi poslouchat na localhostu a jeste to pojistit v iptables.
-- Dalibor