Il giorno gio, 11/05/2006 alle 20.54 +0200, Massimo Danieli ha scritto:
> > 1) Come cavolo e' riuscito a far fare quella request al mio webserver?
> > Ed a far eseguire il file una volta scaricatolo.
> > E' per caso dovuto all'azione di un altro script?
>
> Probabilmente un software che permette injection-code (un bel forum in
> php per caso, o mambo ? )
la seconda che hai detto
> Ma tanto tu hai montato le /home in noexec, ed anche /tmp per sicurezza
> (vero ?).
no, non lo erano... e' una macchina su cui vogliono "giocare" troppe
persone (tra cui il mio capo), anche se ora tocca a me sistemare i
cocci.
> Controlla i log, vedi se c'è altra schifezza in giro e fai un paio di
> passate con rootkithunter e chrootkit.
> E sopratutto vedi di riuscire a capire, magari facendo un giro sui
> soliti siti, se ci sono vulnerabilità note sui programmi che girano sul
> server (dovresti trovare qualcosa, sto script gira da molto)
ok, faro' sapere, magari sara' utile per il prossimo talk :)
ciao e grazie
Filo
|