Ämne: Elak kod någon stans som gömmer sig
Visa ett inlägg
Oläst 2012-01-19, 11:43 #7
BarateaUs avatar
BarateaU BarateaU är inte uppkopplad
Klarade millennium-buggen
  
Reg.datum: Nov 2007
Inlägg: 2 648
BarateaU BarateaU är inte uppkopplad
Klarade millennium-buggen
BarateaUs avatar
 
Reg.datum: Nov 2007
Inlägg: 2 648
Citat:
Ursprungligen postat av foks Visa inlägg
Glöm inte att kolla hur .htaccessfilen ändrats. Notera tiden för när filen ändrades och jämför med accessloggarna. Hittar du ingenting där kan intrånget ha skett via FTP.
Tyvärr har de bara access loggar från http och ej ftp.

Citat:
Ursprungligen postat av foks Visa inlägg
Update: Jag anar att du själv administrerar den här servern och det inte är ett webbhotellskont. Notera att även andra domäner på servern är drabbade, se http://sakrare.ikyon.se/?ip=188.95.227.20. Det är jag som driver den här sidan, attacken mot det här ip-numret upptäcktes i tisdags men på grund av lite krångel hos mig har de här rapporterna inte kommit iväg förrän nu.
Många av de sidorna är mina förutom 1, så kanske inte är kopplat till mig direkt utan nått med servern.

Citat:
Ursprungligen postat av b_andersson Visa inlägg
Installera och kör dessa för att kolla så du inte har ngt rootkit eller liknande som ligger kvar:

http://www.rootkit.nl/projects/rootkit_hunter.html
http://www.rfxn.com/projects/linux-malware-detect/
Måste ringa CN och höra vad som händer, efter jag fixade .htacessen igår så är den tillbaka till hijack idag.
Har bytt ftp konton nu också, får se om de hjälper lite.
BarateaU är inte uppkopplad   Svara med citatSvara med citat