Buenas,

puedes usar "inotify-tools" para monitorizar los accesos de un
directorio/archivo. Cuando detectes esos accesos, puedes hacer un lsof o
algo del estilo para ver quien lo tiene abierto!

Por cierto, creo que es la primera vez que escribo en esta lista!
No seáis muy crueles conmigo XDD

Slds,


El dom, 28-03-2010 a las 11:52 +0200, Ismael Fanlo escribió:
> Hola!
> 
> ¿De qué manera, podría saber quién (o qué proceso) ha modificado un archivo?
> 
> En un dominio de mi servidor están apareciendo cosas raras, posiblemente 
> sea un ataque de inyección, ¿cómo podría entender y aislar lo que ocurre?
> 
> Os cuento...
> 
> En el dominio tengo un drupal 6.13 en modo de mantenimiento, pues la web 
> no está activa.
> 
> Ayer al acceder encontré algo raro; en vez de salir la pantalla de 
> mantenimiento, salía un error de parseado del php.
> 
> Me extrañó mucho, pues no había tocado nada en esa web que hiciese 
> pensar en un error de actualización.
> 
> Entonces comprobé que justo unas horas antes se habían modificado 
> archivos como el index.php, el settings.php, y varios javascripts, 
> insertando códigos crípticos.  En alguno de ellos, el código no era tan 
> críptico que no se pudiese ver que había enlaces a una serie de webs
> sachanet.net, boxcar.com y otras, a las cuales el navegador deniega el 
> acceso y alerta de que hospedan software malicioso.
> 
> Comentado con los administradores del servidor, confirmaron que el 
> servidor no estaba comprometido (¡qué me van a decir!), pero también 
> comprobé que los otros dominios, todos con drupal, no habían sufrido 
> ninguna consecuencia.
> 
> Luego, elimino la web, vuelvo a instalar la misma versión de drupal y 
> sus módulos, compruebo que funciona, actualizo a la última versión, y al 
> cabo de un rato me vuelvo a encontrar con los mismos códigos maliciosos.
> 
> Hasta entonces no he cambiado la contraseña, y ahora estoy nuevamente 
> haciendo la reinstalación.
> 
> Por eso, si hay algo fuera de control, me agradaría poder "capturar" en 
> qué momento, cuándo y desde dónde se producen estas modificaciones.
> 
> Seguro que los cracks de Badopi me podéis sugerir algo, porque yo, en 
> temas de security ando más perdido que un pulpo en un garage.
> 
> Un abrazo,
> 
> 
> 
> -- 
> Ismael Fanlo
> 
> Ofimática y software libre
> http://superalumnos.net
> --
> _______________________________________________
> Comandob mailing list
> Comandob@badopi.org
> http://lists.badopi.org/mailman/listinfo/comandob


--
_______________________________________________
Comandob mailing list
Comandob@badopi.org
http://lists.badopi.org/mailman/listinfo/comandob

Responder a