mix359
27.07.2011, 21.51
Salve a tutti,
da qualche giorno sono ho purtroppo la macchina in questo malefico stato, anti-hack.
Mi era stata già sbloccata una volta, ho copiato i dati, l'ho reinstallata, e sta sera dopo neanche 24h che era in funzione è stata di nuovo bloccata.
Il problema del blocco è uno scan che riporta una serie di connessioni dalla mia macchina (se ho letto giusto) ad un'altra, molto sospetta, su porte a caso.
La prima volta le connessioni partivano dalla porta 3306 della mia macchina (mysql?), la seconda invece dalla porta 80. Alla reinstallazione ho bloccato sul firewall la porta 3306 da tutte le connessioni proveniente dalla porta eth0 in ingresso.
Girando per la macchina (in rescue mode ora, quella con accesso solo ftp) purtroppo non ho trovato nessuna traccia di niente. Mi sono letto i log di sistema, di php, di mysql, ma nulla.
Sulla macchina ho solo un sito in php che faccio girare con lighttpd + fastcgi (php5) che si collega ad un db mysql.
Sulla macchina è poi installato apache e nginx che fanno accedere rispettivamente a uno script php e una cartella di immagini.
Il sistema operativo con cui ho reinstallato la macchina è ubuntu 11.04, mentre prima avevo il 10.10.
Il mio problema ora è che non so dove sbattere la testa per cercare dove è sto baco che viene sfruttato. Qualcuno riesce a darmi un aiutino?
I file del sito me li sono passati manualmente e non ne ho trovato aggiornati di recente negli ultimi giorni (come data di modifica). Li ho anche sottoposti ad un antivirus ma nn ho trovato nulla.
C'è la possibilità che sia qualche software a questa versione corrente, su ubuntu ad avere un baco che permette di fare tutto ciò? Nel caso c'è qualche sito dove posso informarmi su questioni di sicurezza dei software linux.
Grazie per le risposte
Mix
da qualche giorno sono ho purtroppo la macchina in questo malefico stato, anti-hack.
Mi era stata già sbloccata una volta, ho copiato i dati, l'ho reinstallata, e sta sera dopo neanche 24h che era in funzione è stata di nuovo bloccata.
Il problema del blocco è uno scan che riporta una serie di connessioni dalla mia macchina (se ho letto giusto) ad un'altra, molto sospetta, su porte a caso.
La prima volta le connessioni partivano dalla porta 3306 della mia macchina (mysql?), la seconda invece dalla porta 80. Alla reinstallazione ho bloccato sul firewall la porta 3306 da tutte le connessioni proveniente dalla porta eth0 in ingresso.
Girando per la macchina (in rescue mode ora, quella con accesso solo ftp) purtroppo non ho trovato nessuna traccia di niente. Mi sono letto i log di sistema, di php, di mysql, ma nulla.
Sulla macchina ho solo un sito in php che faccio girare con lighttpd + fastcgi (php5) che si collega ad un db mysql.
Sulla macchina è poi installato apache e nginx che fanno accedere rispettivamente a uno script php e una cartella di immagini.
Il sistema operativo con cui ho reinstallato la macchina è ubuntu 11.04, mentre prima avevo il 10.10.
Il mio problema ora è che non so dove sbattere la testa per cercare dove è sto baco che viene sfruttato. Qualcuno riesce a darmi un aiutino?
I file del sito me li sono passati manualmente e non ne ho trovato aggiornati di recente negli ultimi giorni (come data di modifica). Li ho anche sottoposti ad un antivirus ma nn ho trovato nulla.
C'è la possibilità che sia qualche software a questa versione corrente, su ubuntu ad avere un baco che permette di fare tutto ciò? Nel caso c'è qualche sito dove posso informarmi su questioni di sicurezza dei software linux.
Grazie per le risposte
Mix