10-11-07, Mikołaj Menke <[EMAIL PROTECTED]> napisał(a): > Witam. > Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł > hasło użytkownika i skasował jego stronę www, podmieniając własnym > "podpisem" oraz dorzucając php shell. Prawdopodobnie zrobił to przez > ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio > zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość > późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co > robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co > tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika > czy też w zasadzie mogę się przymierzać do reinstalacji systemu. > Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian) > PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i > tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma. > Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja > reinstalacji przeraża mnie. :-/
najlepiej przejedź od poczatku do konca tutorial securing debian i opczytaj o pakietach z "działu" forensics. pokręć sie gdzies w tych rejonach. http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html badanie przyczyn i skutków włamania to dość interesująca sprawa - jesli tylko uda ci sie ustalić co sie dokladnie stało - podrzuć jakieś info na liste. pozdr. -- Wojciech Ziniewicz Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje ct;umount;makeclean; zip;split;done;exit:xargs!!;)}