Kann das was sein?

[timmithe2]

Hallo,

ein Kunde von mir rief mich gestern Abend an und sagte sein FTP Verzeichnis ist gelöscht worden heute habe ich die SSH Zugangsdaten
zu seinem Server erhalten und diese Logfile
eintrag gefunden:

Code: Select all

 Sat Jan 24 19:05:11 2004 1 172.179.78.186 141 /html/adminbereich/config.inc.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:05:18 2004 1 172.179.78.186 141 /html/adminbereich/config.inc.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:07:53 2004 1 172.179.78.186 0 /html/config.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:08:01 2004 1 172.179.78.186 0 /html/config.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:11:24 2004 3 172.179.78.186 14848 /html/hdfill.Exe b _ i r web2 ftp 0 * c
Sat Jan 24 19:14:42 2004 25 172.179.78.186 445440 /html/hdkp5b.exe b _ i r web2 ftp 0 * c
Sat Jan 24 19:15:04 2004 2 172.179.78.186 14848 /html/hdfill.Exe b _ o r web2 ftp 0 * c

Die Zeit stimmt genau mit der überein wo der error_log das erste mal das fehlen der Dateien bemängelt was kann das sein?

Grüße tim

[dodolin]

was kann das sein?

Unsichere PHP-Konfiguration.
Du kannst froh sein, sollte deine Kiste nicht schon längst als Spam-Schleuder dienen, sondern "nur" der Webspace dieses einen Kunden kompromittiert sein.

[timmithe2]

Hallo,

das ist nicht meine Kiste!

Ich habe jetzt mal ein chrootkit durchlaufen lassen dabei
ist das raus gekommen:

Code: Select all

Checking `bindshell'... INFECTED (PORTS:  465)
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)

Jetzt habe ich bei 2 weiteren Kunden diese chrrootkit laufen
lassen und es gab jedesmal diese Meldung die Server stehen
bei 1und1 und ich bin nicht für die Verwaltung verantwortlich.

Gruß Tim

[dodolin]

http://www.rootforum.org/faq/index.php? ... 31&lang=de
Dass dhcpd läuft, ist auch nicht wirklich beunruhigend.

und ich bin nicht für die Verwaltung verantwortlich.

Wer dann? Jemand anderes, oder sind das "Managed Server"?

[timmithe2]

Hallo,

die Besitzer der Server. Ich habe nur etwas in php für die programiert.
Das die keine große Ahnung habe ist nicht mein Problem.
Ich wollte denen nur helfen und hatte mich vorher nicht mit chrootkit vertraut gemacht, deshalb hatte ich ja auch hier gefragt bevor ich etwas unternehme. Also ist kein rootkit drauf sonder die php config ziemlich
unsicher? Der Safe Mode ist allerdings aktiv was kann ich den raten außer
auf ein webpaket umzusteigen*g*

Grüße Tim

[alrad]

Hallo,

@dodolin: Wo siehst du eine unsichere PHP-Konfiguration. Was ich sehe, ist ein Zugriff über FTP. Mich würde dann interessieren, wie derjenige an die Zugangsdaten gekommen ist, wenn es nicht sogar der Kunde selbst gewesen ist.

Gruß
Albert

[timmithe2]

ehrlich gesagt habe ich auch ne Vermutung das
da jmd. der Zugangsdaten hatte drauf gekommen ist
ich kann auch nirgends etwas finden bis auf das halt.

Die exe Dateien wundern mich nur etwas? *g*

Grüße Tim

[geeky]

laut google is die eine .exe nen trojaner und die andere nen HD-Filler - allerdings für windows...

[timmithe2]

yepp, das hatte ich auch schon gedacht ;-)

Grüße Tim

[dodolin]

Wo siehst du eine unsichere PHP-Konfiguration. Was ich sehe, ist ein Zugriff über FTP

Da der OP nicht gesagt hat, um was für ein Logfile es sich handelt, nahm ich an, dass es um einen Apache-Log geht. Wenn man das als FTP-Log ansieht, ändern sich die Dinge wieder...