Üdv, tegnap vettem észre hogy egy felhő alapú Ubuntu 12.04 rendszeremet megpiszkálták. Mivel a jelenséget ott vettem észre, hogy az oldalon lévő weboldalak kb. 60-70% kb. (10 oldalból 6-7 oldal) nem a megfelelő tartalommal jelent meg.
A rendszer egyszerű, túl sok minden nincs rajta csak egy LAMP van telepítve.
Az oldalak jellegét nézve sem tudok egyértelmű útmutatást adni. Van közötte Joomla 1.5.26, 2.5.X, van rajta egyedi CMS rendszer, és teljesen statikus oldal is néhány html-ből. Van olyan ami csak egy index.html ből áll, azt is felülírta.
Abba szeretném a segítségeteket kérni, hogy hogyan tudom kiszűrni milyen fájlokat módosítottak, esetleg honnan jött a támadás?
Én próbáltam a $ find /var/www/ -mtime -4 de mivel sok oldal dinamikus és felhasználók is töltenek fel ez így elég sok találatot adott, ráadásul abban sem vagyok biztos, hogy valóban ez elmult 4 napban történt, vagy előbb, vagy utóbb.
Amúgy annyit észre vettem, hogy az index.xxx eket szinte mindenhol lecserélte. Az új index.html fájlok title-je ezt tartalmazza. "./root@#~SF-Resistance 125"
Hogyan tudnék védekezni ellene? Ok, azt tudom, hogy a Joomla 1.5 cseréljem le, de ezt nem tudom egyenlőre megtenni.