adathalász
Kukusik Péter
kukusikp at dkrmg.sulinet.hu
2007. Május. 14., H, 11:23:13 CEST
Mihályfi Tibor írta:
> Tisztelt Lista!
> Tegnapelőtt kaptam az üszi-től egy levelet, h serverünket lekorlátozták,
> mert illegális adathalászat indul róla.
> Leformáztan-újratelepítettem...web servernek használjuk. Red Hat 9 és
> apache fut rajta.
> Mára megint benn van a www\manual mappában bancoposta.online.it, meg még
> néhány könyvtár, ott van az index fájl, ami egy false ebay-lap és az
> ebay felhasználók adatait akarja elkérni....gőzöm nincs, hogy induljak
> neki a kiirtásának....
> Kérem, akinek van 5lete, segítsen!
> Tisztelettel:
> MT
>
Üdv!
Néhány hete nálunk is történt hasonló csak a mi szerverünket a PayPal
fizetős oldal adathalászatára használták fel. Lehet, hogy valakik
rátaláltak arra, hogy az iskolák szerverei könnyebben sebezhetők. Mint
utóbb kiderült a log fájlokból, az adatokat romániai IP címek felé
továbbította a betolakodó.
Végső megoldásként nem maradt más mint a szerver újratelepítése mert a
weblapok között létrehozott könyvtárakat még root-ként sem sikerült
törölni illetve az alaposabb vizsgálatok során kiderült, hogy elég
mélyen sikerült beásniuk a rendszerbe. Azt is sikerült kideríteni, hogy
nagy valószínűséggel az Apache-nak egy biztonsági rését kihasználva
jutottak be.
Az addigi RedHat helyett a Debiant telepítette föl a rendszergazda és a
legújabb Apachot a legújabb frissítésekkel együtt. De ez utóbbinak a
beállításával valahogy nem boldogult több napi kísérletezés során sem
úgyhogy keresett kisebb és biztonságosabbank mondott szervereket. Párat
kipróbált mire sikerült találni egyet ami megfelelt és sikerült is jól
beállítani. Ha érdekel a neve akkor megkérdezem.
--
Kukusik Péter
oktatástechnikus
Radnóti Miklós Gimnázium
2120 Dunakeszi
Bazsanth Vince utca 10.
Tel.: 27-342-212 /13-as mellék
E-mail: kukusikp at dkrmg.sulinet.hu
További információk a(z) Techinfo levelezőlistáról