20
Gehackter Webserver bereinigen
Hallo!
Auf einem unserer Webserver wurde wohl gehacked. Es befindet sich im web root:
ldfzgasx.php
Ein Teil des Inhalts:
'I could not have a more welcome visitor 64 group of zain bani'
Wenn ich die Datei lösche, wird Sie nach ein paar Sekunden neu erstellt ... da läuft wohl ein Dienst?
Weiß jemand wie ich dies bereinigen kann?
Server: Ubuntu Server 18
Danke!
Auf einem unserer Webserver wurde wohl gehacked. Es befindet sich im web root:
ldfzgasx.php
Ein Teil des Inhalts:
'I could not have a more welcome visitor 64 group of zain bani'
Wenn ich die Datei lösche, wird Sie nach ein paar Sekunden neu erstellt ... da läuft wohl ein Dienst?
Weiß jemand wie ich dies bereinigen kann?
Server: Ubuntu Server 18
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6985843204
Url: https://administrator.de/contentid/6985843204
Printed on: April 27, 2024 at 10:04 o'clock
20 Comments
Latest comment
Platt machen und neu aufsetzen.
Alles andere ist nicht sicher!
Jürgen
Alles andere ist nicht sicher!
Jürgen
4
Moin,
Mehr wirst du nicht machen können...
Gruß
em-pie
- Finde die Schwachstelle. Irgendwie musst du dir das Zeug eingefangen haben. Bringt nichts, wenn du das hinterher alles wieder sauber hast und du dir den Mist neu einfängst.
- Setze den Server von Grund auf neu auf.
- Anschließend die Nutzdaten (nach einem intensiven Scan) neu importieren.
Mehr wirst du nicht machen können...
Gruß
em-pie
1
Danke .. Neuinstallation ist natürlich geplant ... aber bis alles parallel neu eingerichtet ist, wollte ich den aktuellen ausmisten ... dachte ich kann rückverfolgen wer am Server die Datei erstellt.
Na, das übliche Procedere: schauen, welche Dienste laufen, unbekannte Dienste deaktivieren und prüfen, was "passiert".
Jürgen
Jürgen
Moin,
Alles andere ist Murks
lks
- Server vom Netz nehmen
- Löschen
- Frisch aufsetzen
- Daten von Backup übernehmen. (Natürlich vorher überprüfen).
Alles andere ist Murks
lks
Zitat von @Fohnbit:
Danke .. Neuinstallation ist natürlich geplant ... aber bis alles parallel neu eingerichtet ist, wollte ich den aktuellen ausmisten ... dachte ich kann rückverfolgen wer am Server die Datei erstellt.
Danke .. Neuinstallation ist natürlich geplant ... aber bis alles parallel neu eingerichtet ist, wollte ich den aktuellen ausmisten ... dachte ich kann rückverfolgen wer am Server die Datei erstellt.
Naja,
bei einem übernommenen Server ist das müßig, Wenn der Angreifer das richtig gemacht hat, siehst Du überhaup keine Spuren, welches böse Programm wann was macht.
Du kannst den server höchstens in ein kontrolliertes Subnetz stellen, das ncihts anderes als die firewall enthält und dann schauen, ob Du üebr die Kommunikation noch etwas rausfinden kannst.
Alternatoiv offline mit forensischen Tools auf die Kiste (oder deren Image) losgehen
lks
ok danke ... dann muss das Plattmachen vorgezogen werden.
Du kannst ggf. vorher ein Image ziehen, damit du das u.U. mit forensischen Tools untersuchen kannst, bzw. jemanden beauftragen kannst, das zu machen. Am live-system ist es halt immer kritisch, weil Du nicht weißt, welche Daten Du wirklich zu sehen bekommst.
lks
Achtung, diese Dinger platzieren oftmals auf den Seiten versteckten JavaScript- und oder PHP-Code, man muss also sein Backup vorher auch verifizieren und die Datenbank welche die Inhalte der Seiten enthält komplett durchgehen/scannen, bevor man dieses wieder zurück spielt.
Denn sonst reicht ein Aufruf einer dieser Seiten und es geht wieder von vorne los.
Cheers briggs
Ich habe einige Scanner laufen gehabt .... aber das php im root hat keiner angezeigt.
Gibts Empfehlungen für eine gute Scan Software?
Gibts Empfehlungen für eine gute Scan Software?
Ich habe einige Scanner laufen gehabt .... aber das php im root hat keiner angezeigt.
Wenn du ein CMS einsetzt werden die Seiten zum Großteil der Systeme dynamisch aus den Inhalten der Datenbank zusammengesetzt, da findest du meist nichts in den statischen Dokumenten! Du musst zusätzlich deine Datenbank-Inhalte verifizieren. Einem Scanner würde ich nicht blind vertrauen der kann auch was übersehen, gerade die Codes sind sehr unterschiedlich aufgebaut und jedes mal anders da diese obfuscated aus random strings generiert werden. Am Ende des Tages kannst du nur sicher sein wenn du dich selbst davon überzeugt hast das alles clean ist.Meine Glaskugel sagt, ein weiteres Wordpress Opfer ...
Zitat von @6247018886:
... man muss also sein Backup vorher auch verifizieren ....
... man muss also sein Backup vorher auch verifizieren ....
das setzte ich natürlich voraus, aber gebe zu, ich hätte es dazuschreiben sollen.
lks
Online-Scanner oder offline?
Mit Online-scannern hast Du keine chance.
lks
Du kommst mit einer "Scansoftware" nicht wirklich weiter. Ist das Webspace oder ein eigener Webserver?
Moin...
und natürlich alle... wirklich alle zugangsdaten ändern!
Frank
und natürlich alle... wirklich alle zugangsdaten ändern!
Frank
Hallo!
Es läuft ein Magento 2 Shop auf dem Server. Ist ein virtueller Webserver von einem Provider mit vollem SSH Zugriff.
Zugänge wurden als erstes geändert ... aber wie schon gesagt, alles platt machen. Backups existieren nur zum Teil, aber die Anpassungen können ja vom alten rauskopiert werden.
Es läuft ein Magento 2 Shop auf dem Server. Ist ein virtueller Webserver von einem Provider mit vollem SSH Zugriff.
Zugänge wurden als erstes geändert ... aber wie schon gesagt, alles platt machen. Backups existieren nur zum Teil, aber die Anpassungen können ja vom alten rauskopiert werden.
Vorsicht! Alles was vom alten System "rauskopiert" wird, kann kompromittiert sein und das neue System wieder infizieren.
Jürgen
Jürgen
Zitat von @chiefteddy:
Vorsicht! Alles was vom alten System "rauskopiert" wird, kann kompromittiert sein und das neue System wieder infizieren.
Jürgen
Vorsicht! Alles was vom alten System "rauskopiert" wird, kann kompromittiert sein und das neue System wieder infizieren.
Jürgen
Ja natürlich ... es geht aber um den selbst eingefügten php code ... der sollte überschaubar sein und "leserlich"
Aber genau um solchen Code geht es.
Zeile für Zeile überprüfen, ob da etwas steht, was da nicht hingehört.
Jürgen
Zeile für Zeile überprüfen, ob da etwas steht, was da nicht hingehört.
Jürgen
1
Moin...
Jürgen
Frank
Zitat von @chiefteddy:
Aber genau um solchen Code geht es.
Zeile für Zeile überprüfen, ob da etwas steht, was da nicht hingehört.
oder die Tür aufmacht für Gäste Aber genau um solchen Code geht es.
Zeile für Zeile überprüfen, ob da etwas steht, was da nicht hingehört.
Jürgen
Frank