Server hackad

[jocke4u]

Hej,

För två dagar sedan upptäckte jag att min server har blivit hackad.
Ett antal av subdomänerna hade fått ersatta index.html/php filer med ett "No war" meddelande.
Efter lite rensning hittade jag en modifierad php fil som hade ersatts av något som heter "GHOST g57shell".

Någon som känner till detta?

Hur kan jag säkra att jag har fått bort allt?
Har ni några tips?

[Xappe]

I en sån situation skulle jag utan vidare försöka ta backup (om man kan vara säker på att det man tar backup på är rent från otyg) och installera om...

[jocke4u]

Ja, det kanske man måste göra (usch, måste börja virtualisera mer )....kanske blir det en spark i röven vid sådant här

[palle-kuling]

Ja, det kanske man måste göra

Absolut. Du kan aldrig vara säker på att du rensat en dator efter ett intrång. Har dom väl tagit sig in kan dom dölja de flesta spåren de lämnat efter sig.
Skulle vara kul att se hur han/hon tog sig in (slarvat med ssh?), och vart ifrån (jag gissar på kina).

[jocke4u]

Hej,

Japp, har börjat processen men skall göra setup'en lite bättre nu

Hålet var med största sannolikhet i Joomla 1.5.1 (ej uppdaterad med senaste fixarna) + ett filhanterings-tillägg (dessutom ett som var Release Candidate 2). Har inte öppet för SSH utåt....men skall uppdatera firmware i routern också

Det närmaste spåret i HTTP accesslog är från Turkiet.
Bifogar några screenshots.

Tack för synpunkterna

[roggerooster]

Jo det är nog inte så felaktigt. Det står på turkiska på skärmdumparna du bifogat.

[I-C3]

Ayyldiz (stavning) var dom som i sommras hackade x antal 100 .se adresser och startade "hackerkrig" mot flashback.

edit:
kom på att det kanske inte var i sommras med det var inom ett år sen iaf.

[jocke4u]

OK,...nu är den rensad och den långa vägen tillbaka är på gång. Trist att man kör TV och rubb/stubb genom den...så nu får man nöja sig med lite internet-radio....och kan ju nöja sig med det och lite vin i glaset