Dear Mas Arief, Maaf sudah lama gak mainan system :) tetapi pengalaman saya dulu, itu bisa terjadi karena: 1. Apache tidak chroot, sehingga hirarki nya setingkat dengan file system yang lain (walaupun ada unsur permission) ini masih bisa di manfaatkan 2. Php exec, sehingga bisa mengeksekusi binary pada path yang sudah commonly define (menyangkut point 1) Efeknya tergantung dari kemahiran intrudernya, biasanya gak sampai jauh2 amat karena dia cuma menggunakan aplikasi php untuk mengeksekusi command yang mampu/boleh di eksekusi oleh user apache dan di taruh pada direktori yang writeable seperti /tmp
Regards, ceye -----Original Message----- From: Arief Yudhawarman [mailto:arief.mi...@jember.net] Sent: Tuesday, July 28, 2009 10:55 To: tanya-jawab@linux.or.id Subject: [tanya-jawab] Cek apakah server sdh compromised ? Salah satu web server kemasukan cracker. Kelihatan dia memanfaatkan hole di salah satu aplikasi web. Ada script yang mencurigakan di folder /tmp. Dia bisa create account, hapus /var/log/lastlog shg log dia masuk tdk terlihat. Langkah sementara yg dilakukan buat partisi /tmp not executable. Untuk cek apakah server sudah compromised, langkah2 apa yg perlu dilakukan ? Saya md5sum `ps` dan `top` dibandingkan dengan server lain (OS sama) tidak berbeda. Ada yg lain ? -- Terimakasih sebelumnya. Salam, ~~ Arief Yudhawarman ~~ -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis