у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль апача, и добавляли строчку с этим модулем в httpd.conf. и мой веб-сервер начинал хаотично вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, фарефоксе и хроме. с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), но как они это делали, я до сих пор не понимаю, т.к. никто по ssh не подключался. у меня подозрение, что есть какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти файлы от root. больше идей нет. и sudo у меня там не установлено. и решил я пока на каталог с модулями апача и на httpd.conf поставить флаги schg. и если эту атаку делает извне робот, то он даже от рута не сможет хотя бы поменять настройки апача. а есть подозрение, что это робот, потому что в измененном httpd.conf появлялись ^M. и пока живу так, отслеживая изменение файлов в tripwire.
|