Можно так-же поставить снорт и есть вероятность он обнаружит проблеммы . Да и вообще по моему намного проще попытаться обнаружить скрипт который это делает, просто анализируя логи.
On Tue, Feb 28, 2006 at 11:55:45AM +0200, Yura Dik wrote: > > Есть n-ое количество серверов, каждый из которых периодически взламывают > следующим образом: от пользователя www-data в /tmp закачивается ELF или > скрипт, который от имени этого же пользователя и запускается, заставить > прогеров проверить все cgi на безопасность нереально, что > посоветуете ??? > > > 1. можно ли запретить определенному пользователю запускать программы из > определенного пути, или разрешать только определенные пути ??? > > 2. как запретить пользователю (например www-data) открывать socket, но > при этом чтобы сервер работал > > 3. есть ли tools которые будут мониторить такое странное поведение > (запуск программ из /tmp, открытие socket, вообще подозрительный GET и > POST запрос) > > 4. чем мониторить web server, проверяя не наличие открытого socket, а > проверяя например не изменился ли index.html нет ли 404 ошибки и т.д. > > > > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
