Problema HAckeo de Web

Sabiendo la hora en la que se ejecutó el proceso. Mucho mas facil encontrar uno de los agujeros.

Tapando....

Estaré atento a la evolución.

La madre que me parió....no se si yo estoy tonto, o no.

https://dominio.com/client/phpini.php

Verde es igual a función deshabilitada.
Rojo es igual a función habilitada.

Joer, lo había entendido al revés y tenía todo habilitado.

Perdón por el forochat.

Ahora 200 conexiones desde aquí:

root@www:~# ps -ef |grep "vu2014"
vu2014 3707 1 3 00:45 ? 00:27:04 /usr/sbin/httpd
vu2014 3708 1 3 00:45 ? 00:25:41 /usr/sbin/httpd

Revisión del log otra vez...y nuevos ficheros infectados.

Creo que les voy a cerrar el sitio directamente.

Después de borrarles el sitio y matar los procesos pertinentes...al rato (por la noche normalmente) volvían a aparecer las conexiones a puertos 25.

Revisando, al final encontré en los logs algo raro con respecto al cron. Miré el cron de todos los usuarios:

for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done

y allí estaba. Un aplicación que se ejecutaba cada hora puesta por el usuario vu2014

/var/tmp/VHqnrE

Borrado, y desprogramado.

Ahora veremos a ver si vienen por otro lado...o no....

Eso si, estoy aprendiendo una cantidad de cosas que tenia olvidadas... xD

Pasados ya unos dias desde que quité la tarea y limpie el alojamiento...por fin recuperé la reputación y ya envio sin problemas.

Muchas gracias a todos.

PD: Me apunto el iwatch, ya le echaré un vistazo en el siguiente problema...