O que quer dizer semi hackada? Isto quer simplesmente dizer que a máquina não é necessária ser ser reinstala, porque o hacker não consegui se ligar em root sobre a máquina. Podemos então tomar o risco de pensar que visto que o hacker não esteve ligado em root, ele não consegui modificar o sistema.

Porquê 'do 29/09/2004'?
Simplesmente porque nesse dia, as máquinas hackadas geraram um ataque de 1Gb para um destinatário que não deve estar muito contente.





ou



Vemos que existe um processo que foi executado em user nobody, group nobody, cujo o binário original foi apagado. Se este comando não mostra nenhum resultado, é que não foi hackado. No entanto, pode ser que já realizamos a limpeza e por conseguinte já o contactamos. Dirige-se ao grep dos logs apache para verificar.



A artimanha do hacker é que ele voltou a nomear o seu processo em '/usr/local/apache/bin/httpd' para ser discreto.

O ataque do dia foi feita pelo ip:


Para encontrar o script que é a origem é da falha de segurança, realizar um grep deste ip nos seus logs de apache (atenção, algumas máquinas estão hackadas há muito tempo (log em .gz)).

Nota: se a limpeza já foi realizada, só o percurso dos logs lhe permitirá encontrar os vestígios do hack.



Este hack apoia-se sobre um erro de programação em php. Um 'include' toma os parâmetros do ficheiro a incluir. 'include' vai buscar o ficheiro e executa-o sobre o servidor. A falha é que php permite de ir buscar este ficheiro sobre uma url (nota: falha não quer dizer bug). O erro de programação é que este ficheiro é em realidade uma variável. E esta variável é preenchida a partir de uma informação passada quando invocou a página. O hacker muito simplesmente preencheu esta variável com uma relação para o seu script de hack num site distante.



Para fazer a limpeza, consulte o guia MaquinaSemiHackada.