Originariamente inviato da fleone

praticamente qualcuno è entrato come admin da pannello di controllo dall'indirizzo 217.174.249.1. E' un indirizzo IP inglese. Ora, come da vostro consiglio, ho cambiato le passwords e ho anche disattivato il pannello di controllo in modo tale da accedere al server solo via ssh da un unico indirizzo ip... però... potresti darmi un consiglio a riguardo?... come li trovo i rootkit? Grazie in anticipo per la risposta.

Fabio.
Eh si, proprio così... e quel qualcuno potrebbe anche essere uno script.

Per il futuro, usa sempre versioni aggiornate di tutte le webapp php.. purtroppo il rovescio della medaglia dell'opensource è proprio che i bug e i relativi scriptini per sfruttarli sono di pubblico dominio.. spesso appena scoperto un bug e prima ancora che esca una versione aggiornata.

Comunque è buona norma lasciare il minimo indispensabile di "vie d'accesso" al proprio server.
Ergo.. se hai possibilità di usare ssh, non serve lasciare aperti altri pannellini di controllo. Con ssh puoi fare tutto e come protocollo è sicuro.
Non appoggerei mai l'amministrazione del mio server o dati importanti nelle mani di qualcosa che passa anche lontanamente per apache/php...........

Per i rootkit, ci sono diversi tools. chkrootkit, rkhunter ..

E' buona norma fare periodicamente controlli di questo tipo (oltre che controllare i log e cambiare periodicamente le password).

ciao