Page 1 of 1
Kann das was sein?
Posted: 2004-01-26 00:53
by timmithe2
Hallo,
ein Kunde von mir rief mich gestern Abend an und sagte sein FTP Verzeichnis ist gelöscht worden heute habe ich die SSH Zugangsdaten
zu seinem Server erhalten und diese Logfile
eintrag gefunden:
Code: Select all
Sat Jan 24 19:05:11 2004 1 172.179.78.186 141 /html/adminbereich/config.inc.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:05:18 2004 1 172.179.78.186 141 /html/adminbereich/config.inc.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:07:53 2004 1 172.179.78.186 0 /html/config.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:08:01 2004 1 172.179.78.186 0 /html/config.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:11:24 2004 3 172.179.78.186 14848 /html/hdfill.Exe b _ i r web2 ftp 0 * c
Sat Jan 24 19:14:42 2004 25 172.179.78.186 445440 /html/hdkp5b.exe b _ i r web2 ftp 0 * c
Sat Jan 24 19:15:04 2004 2 172.179.78.186 14848 /html/hdfill.Exe b _ o r web2 ftp 0 * c
Die Zeit stimmt genau mit der überein wo der error_log das erste mal das fehlen der Dateien bemängelt was kann das sein?
Grüße tim
Re: Kann das was sein?
Posted: 2004-01-26 01:58
by dodolin
was kann das sein?
Unsichere PHP-Konfiguration.
Du kannst froh sein, sollte deine Kiste nicht schon längst als Spam-Schleuder dienen, sondern "nur" der Webspace dieses einen Kunden kompromittiert sein.
Re: Kann das was sein?
Posted: 2004-01-26 02:05
by timmithe2
Hallo,
das ist nicht meine Kiste!
Ich habe jetzt mal ein chrootkit durchlaufen lassen dabei
ist das raus gekommen:
Code: Select all
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
Jetzt habe ich bei 2 weiteren Kunden diese chrrootkit laufen
lassen und es gab jedesmal diese Meldung die Server stehen
bei 1und1 und ich bin nicht für die Verwaltung verantwortlich.
Gruß Tim
Re: Kann das was sein?
Posted: 2004-01-26 04:00
by dodolin
http://www.rootforum.org/faq/index.php? ... 31&lang=de
Dass dhcpd läuft, ist auch nicht wirklich beunruhigend.
und ich bin nicht für die Verwaltung verantwortlich.
Wer dann? Jemand anderes, oder sind das "Managed Server"?
Re: Kann das was sein?
Posted: 2004-01-26 04:33
by timmithe2
Hallo,
die Besitzer der Server. Ich habe nur etwas in php für die programiert.
Das die keine große Ahnung habe ist nicht mein Problem.
Ich wollte denen nur helfen und hatte mich vorher nicht mit chrootkit vertraut gemacht, deshalb hatte ich ja auch hier gefragt bevor ich etwas unternehme. Also ist kein rootkit drauf sonder die php config ziemlich
unsicher? Der Safe Mode ist allerdings aktiv was kann ich den raten außer
auf ein webpaket umzusteigen*g*
Grüße Tim
Re: Kann das was sein?
Posted: 2004-01-26 07:50
by alrad
Hallo,
@dodolin: Wo siehst du eine unsichere PHP-Konfiguration. Was ich sehe, ist ein Zugriff über FTP. Mich würde dann interessieren, wie derjenige an die Zugangsdaten gekommen ist, wenn es nicht sogar der Kunde selbst gewesen ist.
Gruß
Albert
Re: Kann das was sein?
Posted: 2004-01-26 13:34
by timmithe2
ehrlich gesagt habe ich auch ne Vermutung das
da jmd. der Zugangsdaten hatte drauf gekommen ist
ich kann auch nirgends etwas finden bis auf das halt.
Die exe Dateien wundern mich nur etwas? *g*
Grüße Tim
Re: Kann das was sein?
Posted: 2004-01-26 13:40
by geeky
laut google is die eine .exe nen trojaner und die andere nen HD-Filler - allerdings für windows...
Re: Kann das was sein?
Posted: 2004-01-26 13:51
by timmithe2
yepp, das hatte ich auch schon gedacht ;-)
Grüße Tim
Re: Kann das was sein?
Posted: 2004-01-26 14:29
by dodolin
Wo siehst du eine unsichere PHP-Konfiguration. Was ich sehe, ist ein Zugriff über FTP
Da der OP nicht gesagt hat, um was für ein Logfile es sich handelt, nahm ich an, dass es um einen Apache-Log geht. Wenn man das als FTP-Log ansieht, ändern sich die Dinge wieder...