Fichero hackeado encontrado. ¿Cómo sé lo que ha pasado?

Iniciado por banderas20, Junio 15, 2019, 08:39:49 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 15, 2019, 08:39:49 PM
Buenas.

Estoy investigando un servidor web linux con Apache2 que ha sido hackeado. Lo típico, que te cambian la página por otra.
He identificado el fichero modificado, y con "stat" saco la fecha de modificación. Pero me gustaría saber con detalle qué ha pasado y por dónde han entrado.

Estoy revisando los ficheros de log en las fechas próximas y no veo nada relevante.

¿Alguna idea?

Gracias!
Junio 15, 2019, 11:57:26 PM #1
Fíjate si los programas .php .pl o lo que fuera que usa el servidor contienen algunas funciones system("comando") ya que puede deberse a una inyeccion bash - batch.

Saludos,
Junio 19, 2019, 01:47:26 PM #2
Saludos

*Revisa los directorios de carga de archivos en busca de algun fichero .php extraño (carga de shell)
*Descarga y analiza todos los logs (syslog, auth, apache2/error.log)
*Creacion reciente de usuarios
*Modificacion de usuarios

Verifica también los complementos que tienes instalados y que tan actualizados (vulnerables son)

Saludos.
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.

Imprimir
Ir Arriba Páginas1
Acciones del Usuario