Mola,
Seria posible ver los logs del servidor Web a mano?
Es muy probable que los visitantes a la web vulnerada estén siendo
atacados activamente.
Lo que se necesita en este caso no es monitorizar el sistema de
ficheros, sino los accesos al web server. El vector de ataque es vía
web.
Lamentablemente, es algo bastante habitual...
El 28/03/2010, a las 15:38, Jordi Casas <jordi...@gmail.com> escribió:
Buenas,
puedes usar "inotify-tools" para monitorizar los accesos de un
directorio/archivo. Cuando detectes esos accesos, puedes hacer un
lsof o
algo del estilo para ver quien lo tiene abierto!
Por cierto, creo que es la primera vez que escribo en esta lista!
No seáis muy crueles conmigo XDD
Slds,
El dom, 28-03-2010 a las 11:52 +0200, Ismael Fanlo escribió:
Hola!
¿De qué manera, podría saber quién (o qué proceso) ha
modificado un archivo?
En un dominio de mi servidor están apareciendo cosas raras, posibl
emente
sea un ataque de inyección, ¿cómo podría entender y aislar lo
que ocurre?
Os cuento...
En el dominio tengo un drupal 6.13 en modo de mantenimiento, pues
la web
no está activa.
Ayer al acceder encontré algo raro; en vez de salir la pantalla de
mantenimiento, salía un error de parseado del php.
Me extrañó mucho, pues no había tocado nada en esa web que hiciese
pensar en un error de actualización.
Entonces comprobé que justo unas horas antes se habían modificado
archivos como el index.php, el settings.php, y varios javascripts,
insertando códigos crípticos. En alguno de ellos, el código no er
a tan
críptico que no se pudiese ver que había enlaces a una serie de w
ebs
sachanet.net, boxcar.com y otras, a las cuales el navegador deniega
el
acceso y alerta de que hospedan software malicioso.
Comentado con los administradores del servidor, confirmaron que el
servidor no estaba comprometido (¡qué me van a decir!), pero tamb
ién
comprobé que los otros dominios, todos con drupal, no habían sufr
ido
ninguna consecuencia.
Luego, elimino la web, vuelvo a instalar la misma versión de drupa
l y
sus módulos, compruebo que funciona, actualizo a la última versión
, y al
cabo de un rato me vuelvo a encontrar con los mismos códigos malic
iosos.
Hasta entonces no he cambiado la contraseña, y ahora estoy nuevame
nte
haciendo la reinstalación.
Por eso, si hay algo fuera de control, me agradaría poder "captura
r" en
qué momento, cuándo y desde dónde se producen estas modificacion
es.
Seguro que los cracks de Badopi me podéis sugerir algo, porque yo,
en
temas de security ando más perdido que un pulpo en un garage.
Un abrazo,
--
Ismael Fanlo
Ofimática y software libre
http://superalumnos.net
--
_______________________________________________
Comandob mailing list
Comandob@badopi.org
http://lists.badopi.org/mailman/listinfo/comandob
--
_______________________________________________
Comandob mailing list
Comandob@badopi.org
http://lists.badopi.org/mailman/listinfo/comandob
--
_______________________________________________
Comandob mailing list
Comandob@badopi.org
http://lists.badopi.org/mailman/listinfo/comandob
