AVC Denial

[Esteban Osorio]

En el archivo error_log, salen cosas como esta...

2012-03-28 10:07:18 (19.0 KB/s) - `/tmp/d' saved [16106/16106]

--2012-03-28 10:07:18--  http://brain.do.am/o.png
Resolving brain.do.am... 217.199.217.10
Connecting to brain.do.am|217.199.217.10|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16106 (16K) [image/png]
Saving to: `o.png'


[Wed Mar 28 12:11:30 2012] [notice] child pid 2962 exit signal Segmentation fault (11)
--2012-03-28 12:20:43--  http://dhoriginal.com/wp-content/themes/DeepFocus/temp/bang.tgz
Resolving dhoriginal.com... 82.98.160.96
Connecting to dhoriginal.com|82.98.160.96|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 217762 (213K) [application/x-gzip]
Saving to: `bang.tgz'




-----Mensaje original-----
De: linux-bounces en listas.inf.utfsm.cl [mailto:linux-bounces en listas.inf.utfsm.cl] En nombre de Marcos Ramirez A.
Enviado el: Miércoles, 28 de Marzo de 2012 11:30
Para: Discusion de Linux en Castellano
Asunto: RE: AVC Denial

On Tue, 2012-03-27 at 17:55 -0300, Esteban Osorio wrote:
> Mmmmm... me huele a "programa no autorizado", ¿cómo llegar a descubrirlo?...

- Revisa si hay procesos cron/at/otros que corran bajo apache.
- La configuración de apache te dice que directorios están visibles a
través de el (Alias, DocumentRoot, et al), lo que te da un conjunto
donde buscar
- Revisa las paginas solicitadas en el log de apache a la hora en que
ocurrió el incidente. Esto te puede dar una pista de que programas
revisar primero.

atte.


--
Marcos Ramirez A. <mramireza en armada.cl>

DOCUMENTO PUBLICO