+ Responder ao Tópico



  1. #1

    Padrão Site invadido

    Olá a todos,

    o site hospedado no servidor da empresa a qual administro a rede foi hackeado, só mudaram o index.php, já foi resolvido, o q eu gostaria de saber é como foi invadido. Pelo q eu vi o arquivo original index.php foi renomeado e um outro criado/colocado no lugar pelo usuário www-data, como evitar isso, existe algum log q possa me fornecer essas informações?

    Obrigado

    Uso o Debian 4 atualizado.
    Última edição por fajo; 07-09-2009 às 15:06.

  2. #2

    Padrão Re: site invadido

    Fajo,

    Veja:
    1- se ha arquivos seus com permissoes W e X no /var
    2- veja se nao ha arquivos ocultos, no /var e ate mesmo /home/usuarios
    de um ls -la e veja se nao foi instalado algo para ficar escondido.
    3- veja se ha atualizacoes de seguranca que voce pode fazer.
    recentemente tinha uma falha no proprio kernel.

    []s
    julio



    Citação Postado originalmente por fajo Ver Post
    Olá a todos,

    o site hospedado no servidor da empresa a qual administro a rede foi hackeado, só mudaram o index.php, já foi resolvido, o q eu gostaria de saber é como foi invadido. Pelo q eu vi o arquivo original index.php foi renomeado e um outro criado/colocado no lugar pelo usuário www-data, como evitar isso, existe algum log q possa me fornecer essas informações?

    Obrigado

    Uso o Debian 4 atualizado.



  3. #3

    Padrão

    Amigo, qual o sistema web que você usa, se é que é algum conhecido? Por exemplo CMS Joomla, Fórum phpBB, etc... Geralmente sai muito exploit para esses tipos de sistemas, você pode checar no CVE - Common Vulnerabilities and Exposures (CVE) quais os últimas vulnerabilidades fresquinhas e saber como o cara pode ter te pegou na curva =)

    Se usa qualquer destes sistemas faça isso pois vale a pena, senão, aperte os programadores para ter mais segurança no código, que evite injeção de código =)

  4. #4

    Padrão Site invadido

    Exatamente como o amigo acima disse.

    Já vi vários casos em que o site, por conter um banco de dados, foi invadido por injection. Procure no banco por campos que contenham conteúdo estranho, como links do tipo "110mb.com", "lenamote" e exclua-os.