1. Forum używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce. Czytaj więcej...

ROZWIĄZANE Potencjalna luka w zabezpieczeniach serwera?

Dyskusja w 'Hosting i domeny internetowe' rozpoczęta przez użytkownika yakusa, 24 Czerwiec 2015.

  1. yakusa

    yakusa Stały bywalec

    Wiadomości:
    44
    Docenione treści:
    2
    Witam,
    Analizując przesłane przez Państwa logi aktywności mailingu na naszym serwerze odkryliśmy kilka plików, które były za to odpowiedzialne i podjęliśmy kroki celem ich usunięcia i zabezpieczenia tejże luki. Jedyne co bardzo mnie zastanowiło to fakt że pliki te nie wzbudzały żadnego podejrzenia gdyż zostały zapisane z datą z 2013r! Jednak pojawiły się one w przeciągu ostatniego ręcznego backupu, który wykonałem w pod koniec kwietnia. Sprawdzając wcześniejszy backup nie znalazłem ich w miejscach w których na serwerze się pojawiły...

    Jak to możliwe aby w nieautoryzowany sposób umieścić na serwerze plik z datą wsteczną? To normalne czy jest to potencjalna luka w zabezpieczeniu Państwa serwera/ów?

    Wykluczamy dostęp bezpośredni do serwera przez np wykradzenie dostępu przez keylogger czy inny malware.
     
  2. Mariusz

    Mariusz pomoc.home.pl Moderator forum

    Wiadomości:
    3 087
    Docenione treści:
    302
    @yakusa rozumiem, że analizowałeś również logi serwera? Logi WWW/HTTP dla serwera można sprawdzić za pośrednictwem połączenia SSH lub po zalogowaniu się w Panelu home.pl do serwera. Dostępne są logi z ostatnich 14 dni.
    Za pomocą logów FTP można sprawdzić adresy IP komputerów, które łączyły się z serwerem, np. w celu opublikowania na nim plików. Logi WWW/HTTP oraz FTP dostępne są dla serwerów z pakietu UNIX, np. Business Cloud Starter, Business Cloud Server.

    Na forum.home.pl mogę tylko zasugerować narzędzia, które mogą pomóc w rozwiązaniu sprawy. Postaram się uzyskać więcej informacji w Twojej sprawie, ale obawiam się, że może być niezbędna analiza Twojego serwera. Sugerowałbym wysłać podobne zgłoszenie przez nasz formularz kontaktowy - https://home.pl/formularz-kontaktowy
     
  3. Grzesiek

    Grzesiek Centrum Pomocy home.pl

    Wiadomości:
    3 660
    Docenione treści:
    333
    Umieszczanie na serwerze plików z datą wsteczną nie jest niczym potencjalnie niebezpiecznym co podlegało by dokładnej weryfikacji. Zazwyczaj pliki umieszczane są na serwerze, a następnie następuje zmiana ich daty. Oczywiście to tylko przykład, który można mnożyć w nieskończoność.

    Przykład polecenia:
    http://www.thegeekstuff.com/2012/11/linux-touch-command/
    touch -d "2012-10-19 12:12:12.000000000 +0530" tgs.txt

    Pisząc najprościej jak się da, pliki mogły być umieszczone wcześniej lub niedawno. Zmiana mogła nastąpić w dowolnym momencie, np. poprzez umieszczony już skrypt lub "dziury" znajdujące się w całej np. aplikacji strony czy w skrypcie. W tej sytuacji warto było by sprawdzić logi lub skonsultować temat z autorami skryptu/oprogramowania skąd taka zmiana nastąpiła, co jest za nią odpowiedzialne.

    Wskazane przez Mariusza logi powinny pomóc w tym. Czego w nich szukać? To już zależy co zostało zmienione oraz na co wpłynęły te zmiany.
     
    yakusa lubi to.
  4. TheL

    TheL @Lider VIP Beta-tester

    Wiadomości:
    2 403
    Docenione treści:
    535
    W pewnych przypadkach zmiana daty plików jest wręcz wymagana do działania więc systemowa blokada czegoś takiego byłaby czymś złym.
    Większość dziwnych plików na serwerach pojawia się tam przez dziury w skryptach lub zapisywanie haseł do FTP w programach którymi się łączymy.
     

Poleć forum znajomym