Buenas.
Estoy investigando un servidor web linux con Apache2 que ha sido hackeado. Lo típico, que te cambian la página por otra.
He identificado el fichero modificado, y con "stat" saco la fecha de modificación. Pero me gustaría saber con detalle qué ha pasado y por dónde han entrado.
Estoy revisando los ficheros de log en las fechas próximas y no veo nada relevante.
¿Alguna idea?
Gracias!
Fíjate si los programas .php .pl o lo que fuera que usa el servidor contienen algunas funciones system("comando") ya que puede deberse a una inyeccion bash - batch.
Saludos,
Saludos
*Revisa los directorios de carga de archivos en busca de algun fichero .php extraño (carga de shell)
*Descarga y analiza todos los logs (syslog, auth, apache2/error.log)
*Creacion reciente de usuarios
*Modificacion de usuarios
Verifica también los complementos que tienes instalados y que tan actualizados (vulnerables son)
Saludos.