Hi an alle
Erstmal zur vorgeschichte ich Teile mir einen Server nun mit einigen Freunden und wir haben auch alle unsere mehr kleineren privaten Webseiten und Projekte auf dem Server. Nun habe ich die letzen zwei Wochen feststellen müssen das bei zwei dieser Seiten (beides Joomla CMS) auf einmal Ordner von außerhalb eingefügt wurden und Daten abgelegt wurden. Natürlich dachte ich nun erstmal daran bei Joomla zu schauen ob diese Versionen derarte Sicherheitslücken haben aber habe leider nichts vergleichbares gefunden. Da ich aber angst hab das es vielleicht doch an der Serversicherheit liegt, wollt ich Euch mal fragen wie ich rausfinden kann wer und über welchen User diese dateien hochgeladen wurde. Problem ist leider dabei die Dateien wurden nun schon gelöscht und ich hab nur noch die Dateinamen.
Kriegt man nun aus den logfiles das irgendwie erkenntlich ?
Welche möglichkeiten habe ich für die zukunft solche Informationen schnell und gut auszuwerten/rauszufinden?
sicherheitsanalyse wer eine datei auf den server geladen hat?
-
mcfly
- Posts: 92
- Joined: 2005-09-20 17:10
-
sonnenrot
- Posts: 63
- Joined: 2007-10-14 21:41
Re: sicherheitsanalyse wer eine datei auf den server geladen hat?
Was waren den das für Dateien? Sind eure Proejkte auf irgendeine Art und Weise logisch von einander getrennt?
Joomla selbst hat eine Uploadfunktion und auch eine Dateibrowserkomponente mit der sich einiges anstellen lässt.
Beim nächsten mal könntest du mittels "-l --full-time " herausbekommen, wann die Dateien hinzugefügt wurden.
Könntest du den Fall genauer beschreiben.
Joomla selbst hat eine Uploadfunktion und auch eine Dateibrowserkomponente mit der sich einiges anstellen lässt.
Beim nächsten mal könntest du mittels "-l --full-time " herausbekommen, wann die Dateien hinzugefügt wurden.
Könntest du den Fall genauer beschreiben.
-
mcfly
- Posts: 92
- Joined: 2005-09-20 17:10
Re: sicherheitsanalyse wer eine datei auf den server geladen hat?
Also es ist ein Suse 10 Server mit Plesk 8.2 als Adminhilfe drauf. Dazu sind es völlig unterschiedliche Domains und nicht miteinander verlinkt Dadurch das Plesk die Adminhilfe ist, sind von der Ordnerstruktur alle Webseite nach Domains getrennt und was ich noch rausfinden konnte das die Dateien von dem User wwrun heraufgeladen wurden. Die Dateien ja das waren die anfänge von Filmen auf Italiänisch. Kann von uns keiner darum denke ich nicht das einer von denen war und es nur nicht sagen möcht.
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: sicherheitsanalyse wer eine datei auf den server geladen hat?
greppe mal die access.log nach den Dateinamen...
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: sicherheitsanalyse wer eine datei auf den server geladen hat?
Mit sleuthkit kannst Du die gelöschten Dateien wieder herstellen. Zieh Dir dazu aber am besten ein Image per dd auf einen lokalen Rechner und frickle an dem weiter. Ist ne gute Forensik-Übung, braucht aber ein bissl Geduld und Zeit.