У меня была атака на моем веб-сервере, где файлы .html были скопированы FTP в общедоступный каталог html.Есть ли способ увидеть, был ли FTP инициирован PHP?
Пароль FTP был очень сильным.
Я пытаюсь определить, инициировал ли PHP передачу FTP. Есть ли файл журнала Apache или Nix, который может дать мне эту информацию?
Дополнительная информация У меня есть записи в журнале FTP, которые, как представляется, отображают разные IP-адреса, были использованы для входа и копирования файлов. Я не уверен, но так ли? до того, как указывается IP, за исключением того, что он не является пользователем учетной записи (что в данном случае является королевством)? Похоже, что регистрируется несколько разных IP-адресов - каждый из которых копирует другой файл - все это занимает менее 30 секунд. Нарушающими файлами являются «mickey66.html», «mickey66.jpg» и «canopy37.html».
2010-06-17T21: 24: 02,073070 + 01: 00 вебсервер чисто даемон: ([email protected]) [INFO] королевство теперь вошли в
2010-06-17T21 : 24: 06.632472 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] королевство теперь зарегистрировано в
2010-06-17T21: 24: 07.216924 + 01: 00 webserver pure-ftpd: ([email protected]) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.html загружено (80 байт, 0,26 КБ/с)
2010-06-17T21: 24: 07.364313 +01: 00 webserver pure-ftpd: ([email protected]) [INFO] Выход из системы.
2010-06-17T21: 24: 08,711231 + 01: 00 вебсервер чисто даемон: ([email protected]) [INFO] королевство теперь вошли в
2010-06-17T21: 24: 10,720315 +01: 00 webserver pure-ftpd: ([email protected]) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.jpg загружено (40835 байт, 35,90 КБ/с)
2010-06-17T21: 24: 10.848782 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] Выход из системы.
2010-06-17T21: 24: 18.528074 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] Выход из системы.
2010-06-17T21: 24: 22,023673 + 01: 00 вебсервер чисто даемон: ([email protected]) [INFO] королевство теперь вошли в
2010-06-17T21: 24: 23,470817 +01: 00 webserver pure-ftpd: ([email protected]) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.html загружено (80 байт, 0,38 КБ/с)
2010-06-17T21: 24: 23.655023 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] Выход из системы.
2010-06-17T21: 24: 26,249887 + 01: 00 вебсервер чисто даемон: ([email protected]) [INFO] королевство теперь вошли в
2010-06-17T21: 24: 28,461310 +01: 00 webserver pure-ftpd: ([email protected]) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/canopy37.html загружено (80 байт, 0,26 КБ/с)
2010-06-17T21: 24: 28.760513 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] Выход из системы.
Я обновил вопрос с помощью протокола FTP-сервера - кажется, что злоумышленник использовал несколько IP-адресов и смог войти в систему с именем пользователя учетной записи, а также? user (это «root»). – Owen