Hace poco recibí una llamada de BELL sobre un virus en nuestro servidor Linux (Debian). Al parecer, Google le envió un correo electrónico a nuestro cliente sobre una base de datos italiana encontrada en nuestro servidor que estaba haciendo phishing. Le pidieron a Bell que bloqueara nuestra IP si no podíamos encontrarla dentro de una hora.
La carpeta se llamó "Mostrar" y dentro de ella había un index.PHP y un montón de otros archivos. Lo borré y ahora está bien.
Los derechos de carpeta eran root: root. Creo que se agregó cuando el administrador del sitio cargó un archivo desde su PC. Pero, ¿cómo serían las propiedades del archivo root: root?
¿Cómo puedo prevenir estos problemas? ¿Hay algún paquete de Linux que ayude?
*** En caso de que sea relevante, el cliente está usando phpMyFaq y la carpeta "Mostrar" estaba dentro de la carpeta "Archivos adjuntos".
P.s en mi access.log Tengo muchos de estos:
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
donde XXX.XXX es una IP real ...
¿Podría estar relacionado? Después de buscar en Google estos códigos, siempre obtengo algo sobre SSL.