У меня на сервере стоит панель управления ISPManager. Во всех папках сайтов на сервере появился сегодня странный файл thumbs.php (посмотрите его во вложении). Посмотрел журнал операций в панели управления там не видно несанкционированного доступа. Кроме того, в панели настроен Брандмауэр (firewall) на shell доступ и на FTP по IP. Как же тогда могли залить данный файл на сервер во все папки сайтов и посмотрите код файла, не могу понять что этот файл может сделать плохого мне?


Присоединённый файл ( Кол-во скачиваний: 4 )
 thumbs.rar 17,63 Kb

Ну это ясно что Вас взломали... а как пока не ясно.

А файл это шелл, с которым много чего можно сделать по возможности...

Это сообщение отредактировал(а) Shogun - 10.3.2011, 23:50

andryus, меняй все пароли. проверяй что за юзеры новые появились в системе и удаляй их. проверку системы на руткит

Насколько я понял то нужно сервер проверить на руткит. А каким образом можно проверить сервер с FreeBSD на руткит?

Добавлено через 1 минуту и 30 секунд


Ну я малость глянул работу данного шелла. Насколько я понял можно сделать все что угодно, НО не на правах root пользователя, а на правах того пользователя, на сайт которого залит данный шелл. Могу конечно ошибаться

Да так... пока не удастся как-то зайти под рут. Я заметил там и утилиты для брутфорса или что-то такое... Хотя это не очень просто.

А если данный файл удален с сервера, изменены пароли, то тот кто применял данный файл может как-то получить доступ к серверу, если у него НЕ получится вновь загрузить подобный файл, т.е. оставляет данный файл какие-то следы, благодаря которым потом тот кто его применял может делать с сервером все что угодно даже если данного файла нет на сервер