Buscar información sobre redes

Redes de computadoras - Google Noticias

Consulta sobre script c99 shell

Pregunta

Alguien ingreso a mi servidor web, con el scripts c99 alguien sabe que es lo que hace esto? ya parche hasta casi le pongo un policia al lado de mi servidor pero los chicos siguen entrando. mi php ya esta en modo seguro, lo que no se es como buscar o donde esta guardo el c99 que fue con lo que ellos entraron.
si alguien sabe, ayuda por favor

Respuesta

pone tu server en modo seguro
afina las reglas del mod_sec conf.
deshabilita funciones PHP utilziando disable_functions en el php.ini
tambien, podrias instalar mod_block_worms y actualizar las reglas del mod_security
basicamente eso te puede liberar de ciertos problemas...


Otra respuesta


Lo otro que podrias hacer es buscar rootkits ... Te recomiendo usar chkrootkit (www.chkrootkit.org).

Tambien ... que dice el syslog ? has visto algun socket extraño? cada tanto haces un
netstat -an | grep ESTABLISED?

Podrias implementar algun IDS basado en host como ser Tripwire.

Tambien podrias sniffear las placas de red ( snoo, tcpdump, wireshark - antes ethereal- etc etc)

Buscar el bendito script ( root# find / -name c99)

Y si se agotan las posibilidades ........

Desde una cinta reinstalas desde un backup el OS (siempre teniendo en cuenta de que los datos estan en un storage o tienen una politica de backup definida) o si no con mucho cuidado haces un cold-install del mismo


Entradas populares

Ads by gets Your Guide