I use securi for the public facing side: <a href="http://sitecheck.sucuri.net/scanner/">http://sitecheck.sucuri.net/scanner/</a><br><br><div class="gmail_quote">On Wed, Oct 17, 2012 at 11:15 PM, David White <span dir="ltr"><<a href="mailto:dwrudy@gmail.com" target="_blank">dwrudy@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">To fork the thread, anyone know of any services you can use, and/or or<br>
scripts you can run to check the public facing code of sites and<br>
ensure there's nothing malicious?<br>
<br>
On the internal side of things, I wonder if it would just make sense<br>
to periodically run an MD5 checksum via cron on each web directory in<br>
the server(s) and compare that with the good hash (stored externally,<br>
off the server, of course).<br>
<br>
Sent from my iPhone<br>
<br>
On Oct 17, 2012, at 10:08 PM, Mike Harrison <<a href="mailto:cluon@geeklabs.com">cluon@geeklabs.com</a>> wrote:<br>
<br>
><br>
> The little Linode slice that hosts <a href="http://chugalug.org" target="_blank">chugalug.org</a><br>
> and a handful of other sites had a Joomla install brute forced.<br>
> Actually nailed on October 10th, but they did not<br>
> install and abuse things until yesterday.<br>
><br>
> The apache logs show many many thousands of login/password attempts<br>
> on the two joomla sites on this system... from only two IP's. in rapid succession. and they finally got one. Then they uploaded a new theme, with some extra functionality in the files.<br>
><br>
> Note: Both IP's were from static ip leasing services. That's a new twist to me... usually they are from another hacked server.<br>
><br>
> And then they went "Bank of America Customer Fishing"<br>
> This server was only a relay, it's some interesting code.<br>
><br>
> As many of you are also hosting/using Joomla and other content management systems, you might want to look at your logs. Moving your login/admin<br>
> urls is the first step, there are many more worth taking.<br>
><br>
> I'm out of the internet / web hosting / security business and yet, since the beginning of September, I've been involved in 6 comprimises, 2 of which, like this one, I was partially responsible for some part of the system.<br>


> The others I was just called in to help clean up afterwards.<br>
><br>
> My relevant almost on topic point is: It seems to me the intensity, focus and volume of hacks, comprimises and abuses have seeming increased significantly.<br>
><br>
> Be careful out there. I'm putting my uber-paranoid hat on after<br>
> about 10 years of not wearing it (all the time), you should also.<br>
><br>
> The not so nice people are out to get us all. All of us.<br>
><br>
><br>
> _______________________________________________<br>
> Chugalug mailing list<br>
> <a href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a><br>
> <a href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br>
_______________________________________________<br>
Chugalug mailing list<br>
<a href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a><br>
<a href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br>
</blockquote></div><br>