El día 11 de febrero de 2010 14:49, David González Romero dgr@dic.ohc.cu escribió:
Al final mi pregunta va en dos sentidos:
A- Hay alguna forma para saber quien escribió, y donde en el sistema de archivos, especificamente en este directorio del /var/spool/cron.
"Quien", va a ser difícil, existen diversas herramientas de auditoría te auxilia para seguir la huella y posiblemente determinar la IP y algunos datos más, pero el "quien" va a ser extremadamente difícil.
Pienso que como Linux usa un sistema Journalist imagino que exista una traza de los cambios en el Sistema de Ficheros en un momento determinado.
B- Hay forma de endurecer las politicas de acceso a los directorios de los virtualhost de apache y del tmp, y que no ejecuten codigo arbitrariamente?
Como ya alguién sugirió, selinux te ayuda a evitar este tipo de cosas, puedes estudiar sobre selinux en la documentación de CentOS o Red Hat.
Una de las tareas más importantes como administrador de un servidor público, es mantenerse al día con las versiones más recientes de las aplicaciones web instaladas. Seguramente el atacante explotó algún agujero de seguridad en Joomla o en alguno de sus plugins.
Saludos, David