Hola!
¿De qué manera, podría saber quién (o qué proceso) ha modificado un archivo?
En un dominio de mi servidor están apareciendo cosas raras, posiblemente
sea un ataque de inyección, ¿cómo podría entender y aislar lo que ocurre?
Os cuento...
En el dominio tengo un drupal 6.13 en modo de mantenimiento, pues la web
no está activa.
Ayer al acceder encontré algo raro; en vez de salir la pantalla de
mantenimiento, salía un error de parseado del php.
Me extrañó mucho, pues no había tocado nada en esa web que hiciese
pensar en un error de actualización.
Entonces comprobé que justo unas horas antes se habían modificado
archivos como el index.php, el settings.php, y varios javascripts,
insertando códigos crípticos. En alguno de ellos, el código no era tan
críptico que no se pudiese ver que había enlaces a una serie de webs
sachanet.net, boxcar.com y otras, a las cuales el navegador deniega el
acceso y alerta de que hospedan software malicioso.
Comentado con los administradores del servidor, confirmaron que el
servidor no estaba comprometido (¡qué me van a decir!), pero también
comprobé que los otros dominios, todos con drupal, no habían sufrido
ninguna consecuencia.
Luego, elimino la web, vuelvo a instalar la misma versión de drupal y
sus módulos, compruebo que funciona, actualizo a la última versión, y al
cabo de un rato me vuelvo a encontrar con los mismos códigos maliciosos.
Hasta entonces no he cambiado la contraseña, y ahora estoy nuevamente
haciendo la reinstalación.
Por eso, si hay algo fuera de control, me agradaría poder "capturar" en
qué momento, cuándo y desde dónde se producen estas modificaciones.
Seguro que los cracks de Badopi me podéis sugerir algo, porque yo, en
temas de security ando más perdido que un pulpo en un garage.
Un abrazo,
--
Ismael Fanlo
Ofimática y software libre
http://superalumnos.net
--
_______________________________________________
Comandob mailing list
Comandob@badopi.org
http://lists.badopi.org/mailman/listinfo/comandob