Recentemente ho ricevuto una chiamata da BELL riguardo a un virus sul nostro server Linux (Debian). A quanto pare Google ha inviato via email al nostro cliente un database italiano trovato sul nostro server che stava facendo phishing. Hanno chiesto a Bell di bloccare il nostro IP se non fossimo riusciti a trovarlo entro un'ora.
La cartella era chiamata "Show" e all'interno c'era un index.PHP e un mucchio di altri file. L'ho cancellato e ora va bene.
I diritti della cartella erano root: root. Credo che sia stato aggiunto quando l'amministratore del sito ha caricato un file dal suo PC. Ma come sarebbero le proprietà del file come root: root?
Come posso prevenire questi problemi. C'è qualche pacchetto Linux che potrebbe aiutare?
*** Nel caso in cui sia rilevante il client utilizza phpMyFaq e la cartella "Mostra" era all'interno della cartella "Allegati".
P.s nel mio access.log ne ho molti:
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
dove XXX.XXX è un vero IP ...
Potrebbe essere correlato? Dopo aver cercato su Google questi codici ottengo sempre qualcosa su SSL.