Здравствуйте, сегодня заметили на сайте небольшой вирус, он делал переадрессацию при определенных условиях, первым делом я посмотрел возвращаемый код страницы, но там было пусто, следовательно пошел искать проблему в подключаемых файлах, и удивился, последний файл изменялся более месяца назад, а вирус появился всего пару дней. В итоге код был найден, а дата последнего изменения файла была равна 31.07.2014, как такое может быть? И куда копнуть чтоб не допустить такого в дальнейшем?
Чтоб следить нужно написать свой скрипт, который будут сверять хеш файлов. Залили проект, сделали снимок, потом постоянно проверять. Если что автоматом обновить на оригинал и сообщить на мыло о безобразии. Ну или что-то вроде IDS - сиcтемы обнаружения вторжений.
Если это рабочий проект, то git должен быть уместнее "своего скрипта".
Ну, правда, если файлы правятся админом через CMS, аккуратные решения бессильны.
fshp: дело в том, что сверка хешей возможна лишь на другой, заведомо чистой, машине. Т.к. на сервере могли быть инфицированы md5sum/sha1sum или другие утилиты. Злоумышленники получили рут - дамп базы, формат диска. Без вариантов. Ro fs лишь спасёт от простых эксплойтов, от рута не спасёт.
Konstantin Kruglov: сам я ни разу не админ, так что что-то более конструктивное сказать не могу. Но использование ro-rootfs в linux никаких проблем не создаёт.
А выпилить себя из улиты last возможно? Так как если верить ей то на сервер захожу только я, и тут вопрос либо эксплойт был загружен давно, либо кто то хорошо шифруется