обнаружил фильмы на моем сервере [дубликат]
На этот вопрос уже есть ответ здесь:
Сегодня утром я нашел фильмы на своем сервере (debian VPS, apache, webmin / virtualmin), файлы находятся в /var/log/roundcube/./, а пользователь / группа - www -data
Я просмотрел свой журнал (apache, proftp, auth) и не нашел странных строк. rkhunter не нашел ничего плохого.
как я могу проверить историю файла (в скрытой папке) или способ, которым пользователь загружал фильмы в эту папку.
Думаю, это бэкдор, но когда я просканировал свой сайт, я не обнаружил ничего плохого.
Думаю, я на время отключу свой веб-сайт и посмотрю, есть ли в папке новые фильмы. Если да, это означает, что у пользователя есть доступ по ftp / ssh или что бэкдор отсутствует в моем var / www /
Заранее спасибо
Учитывая расположение файлов и право собственности, я предполагаю, что злоумышленник проник через уязвимость в Roundcube и затем загрузил файлы. Лучший способ обойти это - запустить команду stat для файлов (stat movie.avi) и посмотреть, когда файл был загружен. После того, как вы получите временную метку, вам следует проверить журналы Apache за этот период времени, чтобы увидеть, как злоумышленник проник. Rkhunter ничего не обнаружит, так как это не настоящая ОС, которая скомпрометирована, скорее всего, он использует уязвимость в Roundcube. Кроме того, чтобы этого больше не повторилось, следует обновить Roundcube и отключить shell_exec, allow_url_fopen, allow_url_include, если это вообще возможно.