Il mio server debian è stato sfruttato da alcuni scriptiekiddie che hanno usato Newbie3viLc063 link . Scriptkiddie ha caricato logo_php.png sul mio server (le mie autorizzazioni sono state risucchiate: s) e l'ha eseguito come file php.
E ho qualche domanda:
Come posso cancellare / bloccare backdoor ciò che ha fatto. Ho bloccato la porta 55555 (lo script lo usava), rimosso il file .php, cambiato la password dell'utente root / www. Ho anche cercato i file .cpp e tutti i file che hanno il permesso 777/755 (trova / -mtime -40 -type f -perm 755. (quel comando ha trovato alcuni file da / usr / bin)
Btw, l'hacker non è riuscito in qualche modo, perché ho trovato il suo file (logo_php_png) dalla cartella uploads, in qualche modo sembra piuttosto stupido lasciare quel file lì ...: D)
E ho eseguito rkhunter, ecco il log: link Non sono sicuro di come dovrei reagire a quegli avvertimenti, ho letto che quelli possono essere falsi positivi.