Hello! On Tue, Dec 03, 2013 at 09:56:20AM -0500, wastemaster wrote:
[...] > nginx генерит перенаправления выборочно некоторых посетителей. > в логах эти редиректы не отражаются. > в целом ситуация очень похожа на описанную товарищами из eset > http://habrahabr.ru/company/eset/blog/179115/ [...] > все что смогли придумать - это снести всю операционнку Собственно, если имеет место быть root compromise - это единственно правильное действие. Ну то есть совсем сносить-то было не обязательно, правильным было бы отложить в сторонку, чтобы потом поизучать под микроскопом. Но для работы - надо устанавливать систему заново с чистого носителя. > И вот пока ждем замену по хостингу хочется выяснить все-таки как > это безобразие к нам проникло. Была давеча замечательная история с cPanel, о которой в статье по ссылке, кстати, упоминается. Но в общем случае способов куда как больше одного. [...] > Проверяли в /var/cache/apt/archives лежит оригинальный пакет nginx > чексумма совпадает, чексумма по бинарнику на диске тоже совпадает с > оригинальной. > > Те либо вражеская штука его перезапускает, либо видоизменяет прямо в памяти > (если конечно такое возможно) Возможно всё. Вот тут, например, есть модуль для ядра Linux'а, который делает приблизительно то же самое: http://seclists.org/fulldisclosure/2012/Nov/94 https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections -- Maxim Dounin http://nginx.org/en/donation.html _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
