Avatar billede cronick Nybegynder
16. juni 2009 - 00:06 Der er 10 kommentarer og
1 løsning

Hackning af 755 mapper

Hej,

Nu er en af mine sider flere dage i træk blev udsat for en dødhamrende irriterende hacker, som tilsyneladende tømmer alt indhold i en mappe med chmod på 755. Mapperne er tilknyttet brugeren apache, der foretager al web adgang - ligesom www eller nobody. Problemet er at denne hacker altså kan slette alt indhold i sådan en mappe. De 755 mapper jeg har, der er tilknyttet en anden bruger (den jeg bruger til at uploade via FTP), har han ikke mulighed for at pille ved.

Er der nogen anden forklaring, end at han muligvis på en eller anden måde planter et PHP script han har lavet, på serveren, og derved så vha. apache-brugeren sletter alt det han kan komme til? Hvis dette skulle være tilfældet, er der så nogen måde hvorpå jeg kan finde ud af hvordan og hvorhenne han gør dette og i sidste ende lukke for denne mulighed?

- På forhånd tak!
Avatar billede repox Seniormester
16. juni 2009 - 00:13 #1
Hvad med at skimte din access log igennem i det tidsrum du mener det er sket i?
Avatar billede simm Nybegynder
16. juni 2009 - 02:34 #2
Tjek også efter opdateringer til evt. webapplikationer du måtte have på serveren. Sommetider udnytter hackere kendte huller i gamle versioner.
Avatar billede cronick Nybegynder
16. juni 2009 - 09:15 #3
Virker disse ikke mistænkelige?

OPTIONS / HTTP/1.1" 200 20440 "-" "Microsoft-WebDAV-MiniRedir/6.0.6000

PROPFIND / HTTP/1.1" 200 38457 "-" "Microsoft-WebDAV-MiniRedir/6.0.6000

PROPFIND /community HTTP/1.1" 301 544 "-" "Microsoft-WebDAV-MiniRedir/6.0.6000

PROPFIND /community/ HTTP/1.1" 200 29348 "-" "Microsoft-WebDAV-MiniRedir/6.0.6000
Avatar billede repox Seniormester
16. juni 2009 - 09:24 #4
Det kommer an på om de ligger i det tidsrum som dine filer forsvinder i.
Umiddelbart er der ikke noget der får min alarmklokker til at ringe.
Avatar billede cronick Nybegynder
16. juni 2009 - 10:19 #5
De ligger lige op til hvornår det er sket - men har dog fundet ud af, at det skyldes en uploadet fil, hvorpå han på en eller anden måde kan hente login til databasen, samt naturligvis slette alle filer, web-brugeren har adgang til (mine 755 mapper).

Så skal jeg bare have fundet ud af, hvordan denne fil er blevet uploadet dertil - og afgrænse muligheden for det..
Avatar billede repox Seniormester
16. juni 2009 - 10:31 #6
Jeg er meget interesseret i hvilken fil det er der er blevet uploadet. Har du mulighed for at zippe den og lægge den til download/sende den til mig?
Avatar billede cronick Nybegynder
16. juni 2009 - 10:36 #7
Jeg vil også meget gerne have fat i indholdet af filen - men han har været så "smart" at slette den, når han har været færdig med at køre den. Ved du dog om det er muligt at gendanne slettede filer, over shell på en linux, hvis man har filens navn, og derved kan søge på den?
Avatar billede repox Seniormester
16. juni 2009 - 10:47 #8
Det kommer helt an på hvad du kører; i debian kan du bruge Scalpel, nogle linux tilbyder lsof og så videre.
Men ellers, så lad det være ved det og så find dit sikkerhedsbrist og så få det lukket.
Avatar billede cronick Nybegynder
18. september 2009 - 15:30 #9
Hov, der mangler da at blive lukket for dette spørgsmål. Repox du er velkommen til at smide et svar :-)
Avatar billede repox Seniormester
18. september 2009 - 21:51 #10
Det fik du her :D
Avatar billede repox Seniormester
18. september 2009 - 21:52 #11
Prøver bare igen, så..
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Vi tilbyder markedets bedste kurser inden for webudvikling

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester