adathalász

Kukusik Péter kukusikp at dkrmg.sulinet.hu
2007. Május. 14., H, 11:23:13 CEST


Mihályfi Tibor írta:
> Tisztelt Lista!
> Tegnapelőtt kaptam az üszi-től egy levelet, h serverünket lekorlátozták, 
> mert illegális adathalászat indul róla. 
> Leformáztan-újratelepítettem...web servernek használjuk. Red Hat 9 és 
> apache fut rajta.
> Mára megint benn van a www\manual mappában bancoposta.online.it, meg még 
> néhány könyvtár, ott van az index fájl, ami egy false ebay-lap és az 
> ebay felhasználók adatait akarja elkérni....gőzöm nincs, hogy induljak 
> neki a kiirtásának....
> Kérem, akinek van 5lete, segítsen!
> Tisztelettel:
> MT
> 

Üdv!

Néhány hete nálunk is történt hasonló csak a mi szerverünket a PayPal 
fizetős oldal adathalászatára használták fel. Lehet, hogy valakik 
rátaláltak arra, hogy az iskolák szerverei könnyebben sebezhetők. Mint 
utóbb kiderült a log fájlokból, az adatokat romániai IP címek felé 
továbbította a betolakodó.
Végső megoldásként nem maradt más mint a szerver újratelepítése mert a 
weblapok között létrehozott könyvtárakat még root-ként sem sikerült 
törölni illetve az alaposabb vizsgálatok során kiderült, hogy elég 
mélyen sikerült beásniuk a rendszerbe. Azt is sikerült kideríteni, hogy 
nagy valószínűséggel az Apache-nak egy biztonsági rését kihasználva 
jutottak be.
Az addigi RedHat helyett a Debiant telepítette föl a rendszergazda és a 
legújabb Apachot a legújabb frissítésekkel együtt. De ez utóbbinak a 
beállításával valahogy nem boldogult több napi kísérletezés során sem 
úgyhogy keresett kisebb és biztonságosabbank mondott szervereket. Párat 
kipróbált mire sikerült találni egyet ami megfelelt és sikerült is jól 
beállítani. Ha érdekel a neve akkor megkérdezem.


-- 
Kukusik Péter
oktatástechnikus

Radnóti Miklós Gimnázium
2120 Dunakeszi
Bazsanth Vince utca 10.
Tel.: 27-342-212 /13-as mellék
E-mail: kukusikp at dkrmg.sulinet.hu


További információk a(z) Techinfo levelezőlistáról