Sziasztok!
Nem vagyok profi, inkább csak minimál-koca-linuxos, így ha néha pongyola vagyok, bocs!
A környezet:
Közel két éve működik egy Ubuntu LAMP szerverem (Ubuntu 6.06 LTS Server - Dapper Drake). Főleg statikus és dinamikus weboldalak kiszolgálása, illetve e-mail szerver funkció ellátása a feladata. Bent van egy IP hosting cégnél a szerver, saját, fix IP-vel.
A tünet:
Egy-két hónapja előfordult, hogy naponta néhány alkalommal a hostolt weboldalak helyett egy üres oldal jelent meg. De a böngészőben nyomott refresh, vagy az oldal domain nevének újbóli beírása után már jól jelent meg a weblap. A tárhelyen levő források rendben voltak, nem volt/nincs bennük módosítás, fertőzés.
Volt, hogy egymás után 10-ből mondjuk 3-4-szer is megismétlődött ez (különbőző, a szerverem által kiszolgált weboldalakat behívva, vagy másik után ismét egy korábbi oldalt beírva), majd fél napig semmi gond. A tünet jelentkezésekor azt tapasztaltam, hogy az Apache2 restart mindig megszüntette a jelenséget. De utólag azt mondom, hogy lehet, hogy Apache2 restart nélkül is lehet, hogy megszűnt volna a tünet. Mivel nem következetes - azaz semmi garancia rá, hogy kétszer egymás után elő tudom idézni -, így nehéz ezt kitesztelni.
Aztán egyszer eszembe jutott, hogy megnézem egy ilyen "üres" oldalnak a HTML forrását. És igen, tele volt warez oldalakra mutató linkekkel. Szóval valahol támadás, fertőzés ért.
De nem igazán tudom, hol kellene keresnem a fertőzést. Bind9-et használok, a zonaleírások rendben vannak. Az Apache2, sites-enabled alatti domain configok rendben vannak. resolv.conf rendben. IP-tables alapú tűzfal üzemel.
Ha állandóan másik oldal jönne be a hostolt domainek helyett, akkor gondolom már megtaláltam volna az okot, de így, hogy naponta csak 2-3-szor fordul elő, azt hiszem ez trükkösebb dolog.
Ha valakinek van ötlete, hol keressem a rést a pajzson, hol lehet a fertőzés, az kérem írja meg a tippjét!
Köszönöm!
u.i.: még az is megfordult a fejemben, hogy nem az én szerveremen van a gond, hanem a IP hosting szolgáltató által üzemeltetett nameserveren. De akkor nyilván másnál is jelentkezne a dolog és már kiderült volna.