16. juni 2009 - 00:06Der er
10 kommentarer og 1 løsning
Hackning af 755 mapper
Hej,
Nu er en af mine sider flere dage i træk blev udsat for en dødhamrende irriterende hacker, som tilsyneladende tømmer alt indhold i en mappe med chmod på 755. Mapperne er tilknyttet brugeren apache, der foretager al web adgang - ligesom www eller nobody. Problemet er at denne hacker altså kan slette alt indhold i sådan en mappe. De 755 mapper jeg har, der er tilknyttet en anden bruger (den jeg bruger til at uploade via FTP), har han ikke mulighed for at pille ved.
Er der nogen anden forklaring, end at han muligvis på en eller anden måde planter et PHP script han har lavet, på serveren, og derved så vha. apache-brugeren sletter alt det han kan komme til? Hvis dette skulle være tilfældet, er der så nogen måde hvorpå jeg kan finde ud af hvordan og hvorhenne han gør dette og i sidste ende lukke for denne mulighed?
De ligger lige op til hvornår det er sket - men har dog fundet ud af, at det skyldes en uploadet fil, hvorpå han på en eller anden måde kan hente login til databasen, samt naturligvis slette alle filer, web-brugeren har adgang til (mine 755 mapper).
Så skal jeg bare have fundet ud af, hvordan denne fil er blevet uploadet dertil - og afgrænse muligheden for det..
Jeg vil også meget gerne have fat i indholdet af filen - men han har været så "smart" at slette den, når han har været færdig med at køre den. Ved du dog om det er muligt at gendanne slettede filer, over shell på en linux, hvis man har filens navn, og derved kan søge på den?
Det kommer helt an på hvad du kører; i debian kan du bruge Scalpel, nogle linux tilbyder lsof og så videre. Men ellers, så lad det være ved det og så find dit sikkerhedsbrist og så få det lukket.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.