Explotado por newbie3viLc063s

4

Mi servidor debian fue explotado por algún scriptiekiddie que usó Newbie3viLc063 enlace . Scriptkiddie cargó logo_php.png en mi servidor (Mis permisos fue una mierda: s) y lo ejecutó como archivo php.

Y tengo pocas preguntas:

¿Cómo puedo eliminar / bloquear backdoor lo que hizo? Bloqueé el puerto 55555 (el script lo usó), eliminé el archivo .php, cambié la contraseña del usuario root / www. También busqué en los archivos .cpp y en todos los archivos que tienen permiso 777/755 (buscar / -mtime -40 -type f -perm 755. (ese comando encontró algunos archivos de / usr / bin)

Por cierto, el atacante falló de alguna manera, porque encontré su archivo (logo_php_png) en la carpeta de subidas, de alguna manera parece que es bastante estúpido dejar ese archivo allí ...: D)

Y ejecuté rkhunter, aquí está el registro: enlace No estoy seguro de cómo debería reaccionar a esas advertencias, leí que esos pueden ser falsos positivos.

    
pregunta user2279808 14.04.2013 - 18:21
fuente

1 respuesta

5

Te recomiendo que vuelvas a instalar el servidor COMPLETO, porque después de un ataque exitoso, el servidor ya no está en una relación de confianza. Tal vez haya más que solo esta puerta trasera.

Sí, es mucho tiempo para configurar un nuevo servidor, pero es la única forma de volver a confiar.

    
respondido por el Dr.Ü 14.04.2013 - 18:36
fuente

Lea otras preguntas en las etiquetas