Re: Włamanie - co dalej?
Witaj Mikołaj,
W Twoim liście datowanym 10 listopada 2007 (12:43:42) można przeczytać:
> Witam.
> Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł
> hasło użytkownika i skasował jego stronę www, podmieniając własnym
> "podpisem" oraz dorzucając php shell. Prawdopodobnie zrobił to przez
> ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio
> zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość
> późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co
> robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co
> tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika
> czy też w zasadzie mogę się przymierzać do reinstalacji systemu.
> Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian)
> PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i
> tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma.
> Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja
> reinstalacji przeraża mnie. :-/
> --
> http://www.miki.z.pl miki@z.pl
> Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki`
Zgłoś incydent na stronie: http://www.cert.pl/
Podeśli im logi.
--
Pozdrowienia,
******************************
* Marek (SirAdams) Adamski *
* http://www.siradams.com/ *
* ICQ:42751516 *
* GG:14747 *
* Linux user:#253788 *
******************************
Reply to: