Разрешение страницы входа изменилось подозрительно

Question

Разрешение страницы входа изменилось подозрительно

Я разработал веб-сайт с сервером php и apache на linux centos. Я не профессионал в вопросах безопасности, и я думаю, что некоторые люди сначала пытаются взломать мой сайт, пожалуйста, посоветуйте мне, какие меры безопасности следует соблюдать

но моя проблема: сегодня вечером, когда я пытался войти в систему, firebug показал, что он пытается загрузить login.php несколько раз, но возникает ошибка файла (я думаю, что постоянное перемещение или что-то....) в любом случае, когда я проверял файл login.php в Linux я заметил, что разрешение файла было изменено, и все x (выполнение) флаги были удалены.

это может быть работа хакера? что я должен сделать, чтобы предотвратить такое.

Я изменил chown на root, а также установил chmod для всех файлов с 775 до 755, пожалуйста, дайте больше

0

linux permissions hacking

Источник

Ahmad 02 дек '13 в 20:19

2 ответа

Другие вопросы по тегам linux permissions hacking

canadmos 02 дек '13 в 20:30 2013-12-02 20:30 · Answer 1 · 2013-12-02 20:30

В такой ситуации первое, что я хотел бы сделать, это проверить файлы журнала Apache. Там должно быть access_log а также error_log файл (ы). Это должно дать вам подсказку относительно возможного источника и того, что было сделано, если что-нибудь.

Журналы обычно находятся в:

/etc/httpd/log/

Второе, что я хотел бы сделать, если вы думаете, что сценарий был изменен, - это сравнить его на предмет различий с резервной копией (которая, как вы знаете, безопасна и не была подделана).

rjt 03 дек '13 в 01:06 2013-12-03 01:06 · Answer 2 · 2013-12-03 01:06

Загрузитесь с установочного CentOS LiveCD. Определите место установки жесткого диска или $ROOT, и если оно уже установлено. Передайте $ROOT следующей команде.

`rpm  --root $ROOT --query --verify --all`

который так же, как

`rpm --root $ROOT -qva`

проверит все пакеты, установленные через yum/ rpm. Если бинарный файл, скажем, httpd отличается от установленного, то у кого-то есть root. Подвох в том, что rpm verify не проверяет что-либо установленное вне rpm/ yum. Поэтому, если вы загружаете модуль и устанавливаете его вручную или сценарий cgi не устанавливается через rpm, он не найдет изменений в этих файлах. Даже если вы установили только через rpm, и с ним все в порядке, компромисс не найдется при неправильном использовании.

Примеры неправильного использования:

отправить пароль через http вместо https.
Не выбирайте надежный пароль для SSH.
Используйте учетные данные для входа в систему по протоколу ftp вместо использования sftp.