pomoc s hackovanym serverem (hack probiha prave ted)
Jan Houstek
Jan na houstek.net
Středa Červenec 11 12:47:17 CEST 2012
On Wed, 11 Jul 2012, Petr Stehlik wrote:
> Ahoj,
>
> potřeboval bych poradit, jak analyzovat právě teď probíhající "hack"
> počítače.
[...]
> tak nějak odhaduji podle těch log souborů, že ten perl skript útočník
> dokázal spustit přes Apache Jakarta modul, ale vůbec netuším jak. Vím,
> že běží od 10:05, ale v logu apache jsem v ten čas nenašel vůbec nic
> zajímavého. V logu mod_jk.log není taky nic (ale byla tam jen úroveň
> info, tak jsem teď dal trace).
mod_jk pokud si pamatuju je AJP proxy, tj. jen přeposílá HTTP request na
lokálně běžící AJP Tomcatu. Pokud na příslušném apache virtuálu máte
access log, tak by tam ten prvotní kontakt měl být.
-- HH
Další informace o konferenci Linux