DevProTalk - Pogledajte određenu poruku - Spašavanje uhakovanog web server-a.

vidak · 09. 01. 2011.

Opis problema:

Uhakovan mi je VPS Ubuntu 10.04.
Na serveru su pokrenuti php, mysql, apache i postfix.

Na serveru sam na svom user-u imao nešto Joomla, jedan PHPBB forum i par svojih aplikacija, jednog user-a sa HTML sajtom koji sem mene ima FTP pristup i 5-6 user-a za mail pristup a mogu se logovati putem SSH. SSH root pristup nije dozvoljen, i nijedan od ovih user-a nema sudo.

Od svih mogućih, uhakovana mi je aplikacija koju sam pisao pre par godina i koju nisam imao interes da unapređujem.
Hakovanje se sastojalo iz menjanja index.php stranice u stranicu za slanje gomile email poruka.

Ono što je najgore jeste što ne znam kako su mi uhakovali stranicu. Moguća su tri scenarija. Da su uhakovali moj ili neki od user-a ili da su nekako putem HTTP-a i rupa na aplikaciji uspeli da upišu novi sadržaj index.php.
Na mom user-u je bila besmislena šifra od 6 karaktera sa slovima i brojevima pa mi je teško poverovati da su je uspeli uhakovati korišćenjem rečnika jer takav sled slova i brojeva nema nikakvog smisla.

U apache log fajlovima nema pristupa toj adresi sajta.
U user log fajlovima nema pristupa sem mojih.
Datum index fajla je identičan kao i kod ostalih fajlova na toj aplikaciji.

Sve Joomla-e i PHPBB sam update-ovao.
Ime mog user-a i password sam promenio, root pass takođe.
Skratio sam suPHP user permisije sa 755 na 750.
Zakupio novu IP adresu, Yahoo i Google su mi trajno banovali postojeću.

Imate li neki savet kako da provalim kako su me uhakovali.

09. 01. 2011.	#1
vidak Banned Expert Datum učlanjenja: 29.09.2007 Poruke: 458 Hvala: 131 71 "Hvala" u 44 poruka	Spašavanje uhakovanog web server-a. Opis problema: Uhakovan mi je VPS Ubuntu 10.04. Na serveru su pokrenuti php, mysql, apache i postfix. Na serveru sam na svom user-u imao nešto Joomla, jedan PHPBB forum i par svojih aplikacija, jednog user-a sa HTML sajtom koji sem mene ima FTP pristup i 5-6 user-a za mail pristup a mogu se logovati putem SSH. SSH root pristup nije dozvoljen, i nijedan od ovih user-a nema sudo. Od svih mogućih, uhakovana mi je aplikacija koju sam pisao pre par godina i koju nisam imao interes da unapređujem. Hakovanje se sastojalo iz menjanja index.php stranice u stranicu za slanje gomile email poruka. Ono što je najgore jeste što ne znam kako su mi uhakovali stranicu. Moguća su tri scenarija. Da su uhakovali moj ili neki od user-a ili da su nekako putem HTTP-a i rupa na aplikaciji uspeli da upišu novi sadržaj index.php. Na mom user-u je bila besmislena šifra od 6 karaktera sa slovima i brojevima pa mi je teško poverovati da su je uspeli uhakovati korišćenjem rečnika jer takav sled slova i brojeva nema nikakvog smisla. U apache log fajlovima nema pristupa toj adresi sajta. U user log fajlovima nema pristupa sem mojih. Datum index fajla je identičan kao i kod ostalih fajlova na toj aplikaciji. Sve Joomla-e i PHPBB sam update-ovao. Ime mog user-a i password sam promenio, root pass takođe. Skratio sam suPHP user permisije sa 755 na 750. Zakupio novu IP adresu, Yahoo i Google su mi trajno banovali postojeću. Imate li neki savet kako da provalim kako su me uhakovali.