Re: Virus v apache

Dave.Jez Dave.Jez na seznam.cz
Úterý Květen 26 21:09:59 CEST 2009


> Rad bych objevil, kudy tam to svinstvo leze. Upgrade vseho je vzhledem s 
> specialnim aplikacim dost narocny. Jak postupovat?
  Ke speciálním aplikacím -- co je to zač? Pokud tam máš pouze apache a php tak bych hledal problém hlavně v nich a ne v apachi nebo php, alespoň v poslední době pokud vím se v nich žádná závažná chyba neobjevila. Jestli jsou měněny pouze stránky, kde běželo php, zkus se mrknout do /tmp a podívat se netstatem co ti naslouchá, tohle dělal jakýsi červ nepamatuji si jméno, stahoval php shell a pak se snažil otevřít backdoor, podle čehož lze detekovat.
  Dále jako rychlé řešení zkus vyzkoušet v php.ini:
allow_url_fopen = off
allow_url_include = off

  Pokud útoky ustanou tak potom procházej phpkové zdrojáky, kde to není ošetřene. Případně pokud s tímto nastavením přestanou některé aplikace chodit, tak preventivně mlátit autory po hlavě.

  Dále se jako bonus podívej na verzi openssh, jestli máš tak muzeální systém, tak openssh naopak obsahovalo velice závažnou chybu, nedávno masivně zneužívanou.

> Diky Lada
  David.



Další informace o konferenci Linux