el proceso 's' se ejecuta con el usuario www-data, por tal motivo aun no tienen root(espero)y por consiguiente debe de estar en los directorios en donde tiene permiso el usuarios www-data (su directorio home o los tmp), usando php y mysql lo mas seguro es que entren por tu aplicacion, ya sea con una inyeccion o un exploit para un php mal parchado.
En cualquier caso, deberias de generar un servidor de respaldo usando los archivos de algun backup (tienes uno, cierto??) y revisar si no han sido modificados (una tablita del hash(md5 o sha) de tus archivos es mas que suficiente), este servidor debe de estar parchado y como dicen en correos anteriores, debes hacer hardening del sistema operativo.
No debes de poner el servidor afectado en produccion hasta saber realmente que paso mediante un analisis forense, es la unica forma de saber con mas presicion que paso, ya que al colocarlo en produccion, el intruso podria tener acceso mediante una backdoor y borrar los logs u otros archivos, por tal motivo te sugiero te apoyes en personal calificado para hacer el analisis forense.
Entre las cosas importantes del hardening del SO se encuentran cerrar puertos que no usas mediante la desinstalacion de paquetes, la configuracion de un firewall de host de filtrado de paquetes y otras cosas, en otras palabras checa como hacer un host bastion.
Como parte de la red deberias segmentarla con el uso de DMZ, esto permite enviar los logs a un equipo confiable, checar con un sniffer el trafico a tus servidores, realizar analisis de vulnerabilidades desde la LAN o desde Internet usando nessus y colocar un IDS en las entradas.
una ultima sugerencia es checar tu codigo, existen herramientas que buscan posibles fallas para inyeccion.
__________________________________________________
Correo Yahoo!
Espacio para todos tus mensajes, antivirus y antispam ¡gratis!
Regístrate ya - http://correo.yahoo.com.mx/
hola.
primero aclaremos algunas cosas.
el proceso 's' se ejecuta con el usuario www-data, por tal motivo aun no tienen root(espero)y por consiguiente debe de estar en los directorios en donde tiene permiso el usuarios www-data (su directorio home o los tmp), usando php y mysql lo mas seguro es que entren por tu aplicacion, ya sea con una inyeccion o un exploit para un php mal parchado.
En cualquier caso, deberias de generar un servidor de respaldo usando los archivos de algun backup (tienes uno, cierto??) y revisar si no han sido modificados (una tablita del hash(md5 o sha) de tus archivos es mas que suficiente), este servidor debe de estar parchado y como dicen en correos anteriores, debes hacer hardening del sistema operativo.
No debes de poner el servidor afectado en produccion hasta saber realmente que paso mediante un analisis forense, es la unica forma de saber con mas presicion que paso, ya que al colocarlo en produccion, el intruso podria tener acceso mediante una backdoor y borrar los logs u otros archivos, por tal motivo te sugiero te apoyes en personal calificado para hacer el analisis forense.
Entre las cosas importantes del hardening del SO se encuentran cerrar puertos que no usas mediante la desinstalacion de paquetes, la configuracion de un firewall de host de filtrado de paquetes y otras cosas, en otras palabras checa como hacer un host bastion.
Como parte de la red deberias segmentarla con el uso de DMZ, esto permite enviar los logs a un equipo confiable, checar con un sniffer el trafico a tus servidores, realizar analisis de vulnerabilidades desde la LAN o desde Internet usando nessus y colocar un IDS en las entradas.
una ultima sugerencia es checar tu codigo, existen herramientas que buscan posibles fallas para inyeccion.
suerte.
> > www-data 20580 00 00 815 355
> ? S 07:16 6:01 ./s
> > 86.23.114.12 80
> >
__________________________________________________
Correo Yahoo!
Espacio para todos tus mensajes, antivirus y antispam ¡gratis!
Regístrate ya - http://correo.yahoo.com.mx/
[ reply ]