मुझे अपने वेब सर्वर पर हमला हुआ है जहां .html फ़ाइलों को एक सार्वजनिक HTML निर्देशिका में एफ़टीपी द्वारा कॉपी किया गया था।क्या PHP का एफ़टीपी शुरू करने का कोई तरीका है?
एफ़टीपी पासवर्ड बहुत मजबूत था।
मैं यह निर्धारित करने की कोशिश कर रहा हूं कि PHP ने एफ़टीपी स्थानांतरण शुरू किया है या नहीं। क्या कोई अपाचे या निक्स लॉग फ़ाइल है जो मुझे यह जानकारी दे सकती है?
अतिरिक्त जानकारी मेरे पास एफ़टीपी लॉग प्रविष्टियां हैं जो विभिन्न आईपी दिखाने के लिए प्रतीत होती हैं और फ़ाइलों की प्रतिलिपि बनाने के लिए उपयोग की जाती हैं। मुझे यकीन नहीं है लेकिन क्या करता है? आईपी संकेत से पहले यह खाता उपयोगकर्ता नहीं है (जो इस मामले में साम्राज्य है)? ऐसा लगता है कि कई अलग-अलग आईपी लॉग हैं - प्रत्येक एक अलग फ़ाइल की प्रतिलिपि बनाता है - सब कुछ 30 सेकंड से कम की जगह में। अपमानजनक फ़ाइलें "mickey66.html", "mickey66.jpg", और "canopy37.html" हैं।
2010-06-17T21: 24: ०२.०७३०७० + 01: 00 वेबसर्वर शुद्ध ftpd: ([email protected]) [जानकारी] राज्य अब
में लॉग ऑन है
2010-06-17T21 : 24: 06.632472 + 01: 00 वेबसर्वर शुद्ध-एफटीपीडी: ([email protected]) [INFO] साम्राज्य अब
2010-06-17T21: 24: 07.216924 + 01: 00 वेबसर्वर शुद्ध-ftpd: (साम्राज्य @77.250.141.158) [नोटिस] /home/kingdom//public_html/mickey66.html अपलोड किया गया (80 बाइट्स, 0.26 केबी/सेकंड)
2010-06-17T21: 24: 07.364313 +01: 00 वेबसर्वर शुद्ध-एफटीपीडी: (साम्राज्य @77.250.141.158) [जानकारी] लॉगआउट।
2010-06-17T21: 24: ०८.७११२३१ + 01: 00 वेबसर्वर शुद्ध ftpd: 24:: ([email protected]) [जानकारी] राज्य में अब
2010-06-17T21 लॉग होता है १०.७,२०,३१५ +01: 00 वेबसर्वर शुद्ध-एफटीपीडी: (साम्राज्य @78.88.175.77) [नोटिस] /home/kingdom//public_html/mickey66.jpg अपलोड किया गया (40835 बाइट्स, 35.90 केबी/सेकंड)
2010-06-17T21: 24: 10.848782 + 01: 00 वेबसर्वर शुद्ध-एफटीपीडी: (साम्राज्य @78.88.175.77) [जानकारी] लॉगआउट।
2010-06-17T21: 24: 18.528074 + 01: 00 वेबसर्वर शुद्ध-एफटीपीडी: (साम्राज्य @190.20.76.74) [जानकारी] लॉगआउट।
2010-06-17T21: 24: २२.०२३६७३ + 01: 00 वेबसर्वर शुद्ध ftpd: 24:: ([email protected]) [जानकारी] राज्य में अब
2010-06-17T21 लॉग होता है २३.४,७०,८१७ +01: 00 वेबसर्वर शुद्ध-एफटीपीडी: (साम्राज्य @85.130.254.227) [नोटिस] /home/kingdom//public_html/mickey66.html अपलोड किया गया (80 बाइट्स, 0.38 केबी/सेकंड)
2010-06-17T21: 24: 23.655023 + 01: 00 वेबसर्वर शुद्ध-एफटीपीडी: (साम्राज्य @85.130.254.227) [जानकारी] लॉगआउट।
2010-06-17T21: 24: २६.२४९८८७ + 01: 00 वेबसर्वर शुद्ध ftpd: 24:: ([email protected]) [जानकारी] राज्य में अब
2010-06-17T21 लॉग होता है २८.४,६१,३१० +01: 00 वेबसर्वर शुद्ध-एफटीपीडी: (साम्राज्य @95.20 9.254.137) [नोटिस] /home/kingdom//public_html/canopy37.html अपलोड किया गया (80 बाइट्स, 0.26 केबी/सेकंड)
2010-06-17T21: 24: 28.760513 + 01: 00 वेबसर्वर शुद्ध-एफटीपीडी: (साम्राज्य @95.20 9.254.137) [जानकारी] लॉगआउट।
मैंने एफ़टीपी सर्वर लॉग के साथ सवाल अपडेट किया है - ऐसा लगता है कि हमलावर ने एकाधिक आईपी पते का उपयोग किया और खाता उपयोगकर्ता नाम के साथ लॉगिन करने में सक्षम था? उपयोगकर्ता (वह 'रूट' है)। – Owen