Su un pentest su una macchina interna nella mia rete aziendale che una macchina Linux (Debian) aveva collegamenti simbolici nella cartella var / www nella directory / etc /. Un'ulteriore enumerazione ha mostrato che c'era uno script bash che supportava la cartella / var / www ma non era un cronjob quindi sembrava sospetto. Qualche idea?
Informazioni insufficienti per accertare la probabilità che sia malevola o segni di violazione. Non sarebbe raro trovare uno script bash che è codificato per fare il backup di una directory ma non essere invocato regolarmente. Dove andava il backup? Se si tratta del sistema locale, probabilmente è solo un tentativo di amministratore sys incompleto nell'implementazione di un backup. Se si esegue il backup su un file system locale, sarei preoccupato.
Per quanto riguarda i collegamenti in / var / www / ai file nella directory ecc., sembra che qualcuno non abbia installato apache httpd dal repository del pacchetto della propria distribuzione e invece sia stato installato manualmente. Quindi probabilmente erano perplessi i file di configurazione non sono in / etc (che è dove sarebbero stati localizzati e referenziati se installati come un pacchetto). Quindi hanno spostato i file in / etc e inserito i collegamenti.
Non sarebbe una cattiva idea verificare l'integrità dell'installazione httpd e assicurarsi che sia in esecuzione una versione non modificata. Probabilmente non malizioso ma semplicemente segni di un amministratore sys inesperto.
Leggi altre domande sui tag linux