Shellcode Hilfe

iceget

Member
Hallo liebe Community,

ich habe folgendes Problem:
Ich habe zirka 300 Domains auf einem ISPConfig 2 (aktuellste Version) Server.

Nun finde ich bei einigen Domains dieses File:
Chennai Hackers Connect: WSO2.5 Web Shellcode

Einige Websites wurden via verschlüsseltem JavaScript Code infiziert (aber einige hundert Dateien pro Website).

Aber komisch; nicht alle Websites wurden attackiert, ...

Was kann ich dagegen tun? Oder wie kann ich das ausfindig machen, welche Website das reingeschleust hat?

Durch was kann das passieren?

20% von allen Websites haben SafeMode = off

Irgendwann heute um 01:00 Uhr früh, wurde diese Datei angelegt.

Habe auch schon den rkhunter installiert, jedoch wenn ich ein
rkhunter --update
mache, kommt die Meldung
Unable to find configuration file: /usr/local/etc/rkhunter.conf

Was kann ich dagegen tun?

Bitte um Hilfe!

Vielen Dank

lg iceget
 
Zuletzt bearbeitet:

Till

Administrator
Ich würde den Server mal mit maldetect scannen:

How to Install and Configure maldet (Linux Malware Detect

rkhunter lässt sich ggf auch manuell installieren, schu mal auf der rkhunter webseite nach, da waren meines Wissens nach Anleitungen dafür.

Rauszufinden von welcher Webseite das ausging ist leider fast unmöglich, da bei ispconfig 2 alles eiten mit mod_php laufen, die Dateien also dem apache User gehören.
 

iceget

Member
Hi Till,

danke für deine Antwort.

Was meinst Du; kann ich den Server irgendwie sicherer machen?

Mal so ganz entspannt 300 Domains auf ISPConfig 3 zu migrieren, ist doch einige Wochen arbeit,...

Danke & lg
 

Till

Administrator
Ich würde Dir raten das apache Modul mod_security zu installieren, das fängt die Meisten Angriffe ab.
 

Werbung

Top