Сегодня утром я нашел фильмы на своем сервере (debian VPS, apache, webmin / virtualmin), файлы находятся в /var/log/roundcube/./, а пользователь / группа - www-data
Я заглянул в свой журнал (apache, proftp, auth) и не нашел странных строк. rkhunter ничего плохого не нашел.
как я могу проверить историю файла (в скрытой папке) или то, как пользователь загружал фильмы в эту папку.
Я предполагаю, что это бэкдор, но когда я просматривал свой сайт, я не нашел ничего плохого.
Думаю, я на время вырежу свой сайт и посмотрю, есть ли в папке новые фильмы, если да, это означает, что у пользователя есть доступ к ftp / ssh или что бэкдор отсутствует в моем var / www /
Спасибо заранее
Учитывая расположение файлов и право собственности, я предполагаю, что злоумышленник проник через уязвимость в Roundcube и затем загрузил файлы. Лучший способ действительно обойти это - запустить команду stat для файлов (stat movie.avi) и посмотреть, когда файл был загружен. После того, как вы получите отметку времени, вам следует проверить журналы Apache за этот период времени, чтобы увидеть, как злоумышленник проник. Rkhunter ничего не обнаружит, поскольку это не настоящая ОС, скомпрометированная, скорее всего, он использует уязвимость в Roundcube. Кроме того, чтобы этого больше не произошло, вам следует обновить Roundcube и отключить shell_exec, allow_url_fopen, allow_url_include, если это вообще возможно.