UDP flood

Dalibor Kouřil dk na ebola.cz
Pátek Březen 18 10:38:07 CET 2011


Něco podobného se mi stalo na podzim. Obvykle (z 99%) to dělá
neaktualizovaný Zencart, Oscommerce nebo Joomla na webech
klientů. V jejich adresářích images se objeví různé
pochybné php skripty.

Pokud používáte suexec na php-cgi tak konkrétního
útočníka jsem zjistil:
netstat -apn|grep "^udp.*php-cgi"

Ve výpise se zobrazí číslo procesu podle kterého lze
zjistit vlastníka procesu a potom už jednoduše vypátrat
co je na dané doméně za problém.

Při probíhajícím útoku otázka minuty dvou.

Pokud bych měl zjišťovat zpětně, tak jedině skript, který
vypíše adresáře images které obsahují skripty php.
Za poslední 2 roky je to opravdu 99% problémů.

Zdravím DK



Dne 18.3.2011 10:17, Martin Tiršel napsal(a):
> Zdravim,


Další informace o konferenci Linux