rastrear archivo

Hola,

Estoy tratando de ver como han subido un archivo php al servidor el cual se usa para mandar mails masivos de spam a través de apache.

Este script apareció en múltiples sitios y se mandaban miles y miles de mails de spam. Gracias al chequeo de relay que hace el firewall csf escaneando los logs de exim pude ver lo que sucedía y saber que archivo era. Luego con un locate localicé exactamente las ubicaciones del archivo y los anulé. Pero al otro día otra cantidad de sitios estaban infectados con el mismo archivo.

Y lo que quiero hacer es saber como lo suben, ya que al hacer un grep 'nombre del archivo.php" de /var/log/messages no me aparece nada (es un server cPanel y los logs del ftp salen por ese archivo)

¿de que otra manera podría ver como han subido el archivo?

¿tienen alguna idea?

Los sitios afectados no tienen permisos con 777 y encima muchos de ellos son planos, es decir no usan scripts, solo index.html.

Gracias desde ya.

 

Hay una vulnerabilidad muy conocida en CMS como phpNuke, que te permite ejecutar comandos propios del sistema (cuando este mismo no está correctamente protegido).
Hace un tiempo nos topamos con un servidor en donde las directivas de apache permitían a los scripts php ejecutar comandos tales como wget (y asi descargarte un xploit) y sh (para así correr tal xploit).

Para evitar este problema, agrega o modifica esta directiva en tu php.ini global:
disable_functions=exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source


Espero te sea de ayuda.

 

Gracias Nightw,

Deshabilité algunas de las funciones que me pasaste en el disable_functions de /usr/local/lib/php.ini y /usr/local/cpanel/3rdparty/etc/php.ini porque las otras ya las tenía. De hecho no había puesto anteriormente las funciones a deshabilitar en /usr/local/cpanel/3rdparty/etc/php.ini y hice ahora.

También le di chmod 000 a /usr/bin/wget

Veremos que pasa de aquí en más.

 

f-spot, tene en cuenta que si le das chmod 000 a /usr/bin/wget podés romper las actualizaciones de WHM/cPanel.

Me alegro que te sean de ayuda, y esperemos que se solucione tu problema.

 

Sigo con el mismo problema.

Ahora cambié la rotación de logs de daily a weekly en /etc/logrotate.conf para ver si puedo rastrear cuando lo suben por ftp. Pienso que se sube por ftp pues los archivos pertenecen siempre al mismo usuario ftp de los dominios a los que fueron subidos.

 

Perdon que me meta, pero si deshabilitas las funciones en el php.ini global y el usuario crea un php.ini en su carpeta public_html con disable_functions = " " osea en blanco, no se tomará en cuenta la configuración de este ultimo php.ini antes que el global?