<![CDATA[Latest posts for the topic "Xử lý server sau khi bị hack"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Xử lý server sau khi bị hack type=AVC msg=audit(1374222841.230:203359): avc: denied { getattr } for pid=17608 comm="httpd" path="/home/username/public_html/includes/libs" dev=sda3 ino=23331130 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir  trong đó /home/username/public_html/includes/libs chính là thư mục bị xoá. Tuy nhiên thì em hiện không biết làm thế nào để tìm ra ai đã xoá & thay đổi nội dung các thư mục trên website & cấu hình lại server như thế nào để đảm bảo an toàn. Nhờ mọi người chỉ dẫn ạ,]]> /hvaonline/posts/list/44978.html#277598 /hvaonline/posts/list/44978.html#277598 GMT Xử lý server sau khi bị hack

anhtuanvo wrote:
Em check trong audit.log thì có mấy dòng sau :
type=AVC msg=audit(1374222841.230:203359): avc: denied { getattr } for pid=17608 comm="httpd" path="/home/username/public_html/includes/libs" dev=sda3 ino=23331130 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir 
trong đó /home/username/public_html/includes/libs chính là thư mục bị xoá.  
Đoạn log trên là của SELinux. Nó cho biết rằng Apache bị denied khi truy cập đến `/home/username/public_html/includes/libs`, không liên quan gì đến việc thư mục kia bị xoá cả.

anhtuanvo wrote:
Tuy nhiên thì em hiện không biết làm thế nào để tìm ra ai đã xoá & thay đổi nội dung các thư mục trên website & cấu hình lại server như thế nào để đảm bảo an toàn.  
Nếu bạn chưa chuẩn bị trước thì chắc là không có cách nào tìm ra ai đã xoá đâu. Giờ bạn thử dùng `inotify`, `incron`, hoặc `audit` để giám sát toàn bộ thư mục `public_html`, khi nào có một thư mục con bị xoá, sửa thì vào kiểm tra lại xem có đúng là apache thực hiện không. ]]> /hvaonline/posts/list/44978.html#277677 /hvaonline/posts/list/44978.html#277677 GMT