Форум о форуме и сайте


[ На главную ] [ Последний список сообщений ] [ Вики ]

Сообщение Кстати, кто профессионально занимается веб-технологиями и юниксами? Кто может профессионально развеять мои сомнения? от DIV было добавлено 27/06/2010 17:07:54 (изменено 28/06/2010 10:12:42)

Я вот пытаюсь понять, как нас взломали. Есть пока что две версии:
1) подобрав пароль на ssh-логин (который совпадает с логином / паролем на ftp) (или сперев его из какого-либо ftp-менеджера)
2) через какую-либо дыру в движке сайта или форума

За первую версию говорит то, что пароль на ssh-доступ был не родной. Ессно я сразу поставил новый пароль
Но вот остаются гаденькие сомнения за вторую версию. Дело вот в чем: мне из техподдержки прислали список файлов, которые взломщики поместили на сервер и из которых запустили ботов (сам файлы, ессно, техподдержка сама удалила). Так вот, владелец и группа файлов - пользователь apache, а сами файлы были помещены в каталог tmp в корне сайта. Но! В access_log за последний месяц ни одного из этих файлов нет.
Вот мне интересно, можно это считать доказательством что взлом произведен НЕ через сайт?
И еще - вроде третьего пути взлома я придумать не могу. Но это не значит, что его не может быть :-(
И кстати - есть ли где-нибудь лог ssh-доступов, хотя бы дата/время начала сессии, ip, в идеале действия по копированию файлов и т.п.? Операционка на сервере - fedora core 5




Обратная связь с админом - про глюки писать сюда   правила форума   FAQ по форумам