> En un dominio de mi servidor están apareciendo cosas raras, posiblemente > sea un ataque de inyección, ¿cómo podría entender y aislar lo que ocurre? > [..]
Bueno, yo tengo ni idea, pero te doy mi punto de vista... A priori, veo mas facil que sea el usuario FTP, o la web que este comprometida, que el servidor.. no por sencillez sino por estadística de lo que suele pasar... Eso si, como esa cosa no este en safe_mode, o se permita seguir enlaces simbólicos, pese a que la entrada se de por aquí, yo ya quedaría en una constante paranoia... Yo he visto gente que se cabrea, y dicen "es que este server no es seguro". El caso es el de una empresa conocida de autocares, que no alojaba yo, pero me toco ver que coño les pasaba... ellos creian que alguien les saboteaba (habían visto demasiadas películas), pero lo que sucedía es que tenían en la web un cartel gigante que decia "Hola señor spammer, utilízame para tus despropósitos", o lo que es lo mismo, una web hecha por un retrasado mental, con frames, que se llamaban a base de includes, y un soporte de idiomas, haciendo inclusion directa de ficheros con la variable... Por lo que esta "de moda" hoy en día, mas que inyección, es posible que sea directamente por FTP... eso depende de quien tenga esa pass, y en que maquinas la has metido. Si es en una que esta infectada por alguna "cosa" de esas que mandan todas las pass a una Botnet ... Yo lo primero que miraría son los logs del FTP, grepeando ficheros ip etc... Algunas veces ni tan siquiera dejan nada en el site, conectan,modifican, ejecutan desde http, y luego lo dejan todo como estaba. Cada X tiempo, y en cosa de minutos, para que sea dificil de detectar... Ya se que no es el caso... lo extraño es que eso pete, quizá por la vers de drupal... ya que la "gracia" de estas mierdas es que estén allí todo el tiempo que se pueda, sin que nadie se entere... pero vamos a lo tuyo: Si el ftp no lo has usado desde ninguna maquina no confiable (es decir solo lo tienes tu, y siempre entras desde linux -es menos posible que tengas algo)) pues en ese caso empieza a grepear los logs de apache... Si con todo esto no encuentras nada vuelve a escribir, indicando lo que has hecho... Cargatelo todo, cambia todas las pass (de drupal), y del FTP. -- Joan Puiggali Abanades (a.k.a Kopernix) GPG id B20FB54B http://www.kopernix.com ".. Si crees que sabré responder a tu pregunta, no me la hagas" ~# apt-get moo (__) (++) zzZZZzz /------\/ = ==> ...."Have you mooed tonight?"... -- _______________________________________________ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
