On Tue 04 Jun 2013 03:52:25 PM CEST, robi @ carnium wrote: > ----- Original message ----- > > Borut Mrak je dne 04. 06. 2013 14:20 napisal/a: > > > Kaj pa sploh je v datoteki? > > zivjo, > > poročilo maldeta: > --- > FILE HIT LIST: > {HEX}php.cmdshell.cih.215 : /tmp/phpMoeWdR > {MD5}php.injector.genol.6184 : /tmp/php8ydK09 > --- > > ko sem sedajle želel pogledati datoteki, ni bilo nobene več ... > > > sem grepal po logih, nikjer ni bilo nobenega zapisa o zgornjih datotekah
Za php.injector.genol.6184 imaš verjetno na voljo md5sum in lahko poiščeš po disku... Preglej vse web strani na strežniku, če je v njihovem docrootu datoteka take velikosti (to imaš, ne?), kot je bila v /tmp. Oz. načeloma lahko pogledaš kar po celem sistemu, če nimaš ravno terabajtov podatkov. Da še dodatno preveriš če je prava, uporabiš md5sum. Imaš veliko obiska na spletnih straneh (gre za večji hosting), ali je to bolj mala zadeva? Če slednje, mogoče lahko narediš korelacijo med datumom datotek v /tmp in spletno stranjo, v kateri je luknja. Ampak čisto možno je, da ne boš nič našel. Ali ker se ni nič zapisalo drugam kot v /tmp, ali pa zato, ker je strežnik že zrootan in ne vidiš procesa od vlomilcev :) Če hočeš bit 100%, si OFFLINE naredi kopijo podatkov in preveri na 100% čistem računalniku (ali npr. z livecd) z istim orodjem. Če nič ne najde, si verjetno OK. lp, Borut. _______________________________________________ lugos-list mailing list lugos-list@lugos.si http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list