pomoc s hackovanym serverem (hack probiha prave ted)

[Jan Houstek]

On Wed, 11 Jul 2012, Petr Stehlik wrote:
> Ahoj,
>
> potřeboval bych poradit, jak analyzovat právě teď probíhající "hack"
> počítače.
[...]
> tak nějak odhaduji podle těch log souborů, že ten perl skript útočník
> dokázal spustit přes Apache Jakarta modul, ale vůbec netuším jak. Vím,
> že běží od 10:05, ale v logu apache jsem v ten čas nenašel vůbec nic
> zajímavého. V logu mod_jk.log není taky nic (ale byla tam jen úroveň
> info, tak jsem teď dal trace).

mod_jk pokud si pamatuju je AJP proxy, tj. jen přeposílá HTTP request na 
lokálně běžící AJP Tomcatu. Pokud na příslušném apache virtuálu máte 
access log, tak by tam ten prvotní kontakt měl být.

-- HH