Sicurezza server dedicato!

**samleo** · 24-04-2010, 14:04

Ciao a tutti, sono nuovo del forum.

Vi seguo da un pò ma è arrivato il momento di chiedervi un piccolo aiutino.

Ho un server dedicato con Linux Debian 5.0.1

In questi ultimi giorni, c'è qualcuno che si diverte a modificarmi i file, inserendo un richiamo javascript ad un file php remoto.

Ho controllato sia i log, sia i permessi dei file...ma non mi sembre esserci qualcosa di "anomalo"..

Ho anche eseguito una scansione con CheckRookKit con esito negativo, stessa cosa con Clamav.

Volevo sapere come posso intervenire, per cercare di proteggere un pò di più il server.

PS: come pannello di controllo il server ha su Webmin.

Spero in un vostro aiuto.

Grazie mille!

**Alex** · 24-04-2010, 16:41

è probabile si fallato il codice del tuo sito e non che il problema sia del server

**WizOfOz** · 25-04-2010, 09:34

molto spesso si passa proprio dal codice web e non da un accesso ssh al server

**Rebel** · 25-04-2010, 14:39

controlla anche gli accessi ftp. in passato ho visto casi simili dovuti a password ftp rubate.

**samleo** · 26-04-2010, 11:13

Allora dopo un pò di controlli, ho visto che nonostante i permessi dei file non scrivibili, e dopo aver effettuato l'update di diversi componenti del server, la storia non cambia.

C'è un modo per visualizzare gli accessi FTP al server?

da var/log/ vedo solo gli error_log, e l' access_log è aggiornato al 25 Giugno 2009

**FlameNetworks** · 26-04-2010, 12:19

Gli accessi al sistema sono scritti, di default, nel file /var/log/auth.log

**samleo** · 26-04-2010, 12:59

Step 2: Sono riuscito a vedere, grazie all'aiuto di Rebel, i trasferimenti FTP.

Mi sono accorto con quale utenza effettuavano l'upload di un file rem_script.php e con che IP.

Ho cambiato password a quel user e messo un filtro IP nel firewall per quel IP