fohnbit
02.05.2023
view4591
view20
0
Goto Top

Gehackter Webserver bereinigen

gelöstFrageServer
Hallo!

Auf einem unserer Webserver wurde wohl gehacked. Es befindet sich im web root:
ldfzgasx.php

Ein Teil des Inhalts:
'I could not have a more welcome visitor 64 group of zain bani'

Wenn ich die Datei lösche, wird Sie nach ein paar Sekunden neu erstellt ... da läuft wohl ein Dienst?

Weiß jemand wie ich dies bereinigen kann?

Server: Ubuntu Server 18

Danke!
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 6985843204

Url: https://administrator.de/contentid/6985843204

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

20 Kommentare
Neuester Kommentar
Goto Top
chiefteddy
Lösung chiefteddy 02.05.2023 um 15:19:49 Uhr
Goto Top
Platt machen und neu aufsetzen.

Alles andere ist nicht sicher!

Jürgen
heart4
em-pie
em-pie 02.05.2023 um 15:20:47 Uhr
Goto Top
Moin,

  1. Finde die Schwachstelle. Irgendwie musst du dir das Zeug eingefangen haben. Bringt nichts, wenn du das hinterher alles wieder sauber hast und du dir den Mist neu einfängst.
  2. Setze den Server von Grund auf neu auf.
  3. Anschließend die Nutzdaten (nach einem intensiven Scan) neu importieren.

Mehr wirst du nicht machen können...

Gruß
em-pie
heart1
Fohnbit
Fohnbit 02.05.2023 um 15:22:24 Uhr
Goto Top
Danke .. Neuinstallation ist natürlich geplant ... aber bis alles parallel neu eingerichtet ist, wollte ich den aktuellen ausmisten ... dachte ich kann rückverfolgen wer am Server die Datei erstellt.
chiefteddy
chiefteddy 02.05.2023 um 15:25:47 Uhr
Goto Top
Na, das übliche Procedere: schauen, welche Dienste laufen, unbekannte Dienste deaktivieren und prüfen, was "passiert".

Jürgen
Lochkartenstanzer
Lochkartenstanzer 02.05.2023 aktualisiert um 16:25:07 Uhr
Goto Top
Moin,

  • Server vom Netz nehmen
  • Löschen
  • Frisch aufsetzen
  • Daten von Backup übernehmen. (Natürlich vorher überprüfen).

Alles andere ist Murks

lks
Lochkartenstanzer
Lochkartenstanzer 02.05.2023 aktualisiert um 15:30:14 Uhr
Goto Top
Zitat von @Fohnbit:

Danke .. Neuinstallation ist natürlich geplant ... aber bis alles parallel neu eingerichtet ist, wollte ich den aktuellen ausmisten ... dachte ich kann rückverfolgen wer am Server die Datei erstellt.

Naja,

bei einem übernommenen Server ist das müßig, Wenn der Angreifer das richtig gemacht hat, siehst Du überhaup keine Spuren, welches böse Programm wann was macht.

Du kannst den server höchstens in ein kontrolliertes Subnetz stellen, das ncihts anderes als die firewall enthält und dann schauen, ob Du üebr die Kommunikation noch etwas rausfinden kannst.

Alternatoiv offline mit forensischen Tools auf die Kiste (oder deren Image) losgehen

lks
Fohnbit
Fohnbit 02.05.2023 um 15:29:50 Uhr
Goto Top
ok danke ... dann muss das Plattmachen vorgezogen werden.
Lochkartenstanzer
Lochkartenstanzer 02.05.2023 um 15:32:01 Uhr
Goto Top
Zitat von @Fohnbit:

ok danke ... dann muss das Plattmachen vorgezogen werden.

Du kannst ggf. vorher ein Image ziehen, damit du das u.U. mit forensischen Tools untersuchen kannst, bzw. jemanden beauftragen kannst, das zu machen. Am live-system ist es halt immer kritisch, weil Du nicht weißt, welche Daten Du wirklich zu sehen bekommst.

lks
6247018886
6247018886 02.05.2023 aktualisiert um 15:49:22 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
  • Daten von Backup übernehmen.

Achtung, diese Dinger platzieren oftmals auf den Seiten versteckten JavaScript- und oder PHP-Code, man muss also sein Backup vorher auch verifizieren und die Datenbank welche die Inhalte der Seiten enthält komplett durchgehen/scannen, bevor man dieses wieder zurück spielt.
Denn sonst reicht ein Aufruf einer dieser Seiten und es geht wieder von vorne los.

Cheers briggs
Fohnbit
Fohnbit 02.05.2023 um 15:53:16 Uhr
Goto Top
Ich habe einige Scanner laufen gehabt .... aber das php im root hat keiner angezeigt.

Gibts Empfehlungen für eine gute Scan Software?
6247018886
6247018886 02.05.2023 aktualisiert um 17:04:11 Uhr
Goto Top
Ich habe einige Scanner laufen gehabt .... aber das php im root hat keiner angezeigt.
Wenn du ein CMS einsetzt werden die Seiten zum Großteil der Systeme dynamisch aus den Inhalten der Datenbank zusammengesetzt, da findest du meist nichts in den statischen Dokumenten! Du musst zusätzlich deine Datenbank-Inhalte verifizieren. Einem Scanner würde ich nicht blind vertrauen der kann auch was übersehen, gerade die Codes sind sehr unterschiedlich aufgebaut und jedes mal anders da diese obfuscated aus random strings generiert werden. Am Ende des Tages kannst du nur sicher sein wenn du dich selbst davon überzeugt hast das alles clean ist.

Meine Glaskugel sagt, ein weiteres Wordpress Opfer ...
Lochkartenstanzer
Lochkartenstanzer 02.05.2023 um 16:24:10 Uhr
Goto Top
Zitat von @6247018886:

Zitat von @Lochkartenstanzer:
  • Daten von Backup übernehmen.

... man muss also sein Backup vorher auch verifizieren ....

das setzte ich natürlich voraus, aber gebe zu, ich hätte es dazuschreiben sollen.

lks
Lochkartenstanzer
Lochkartenstanzer 02.05.2023 um 16:26:33 Uhr
Goto Top
Zitat von @Fohnbit:

Ich habe einige Scanner laufen gehabt ....

Online-Scanner oder offline?

Mit Online-scannern hast Du keine chance.

lks
tgvoelker
tgvoelker 02.05.2023 um 17:00:28 Uhr
Goto Top
Du kommst mit einer "Scansoftware" nicht wirklich weiter. Ist das Webspace oder ein eigener Webserver?
Vision2015
Vision2015 02.05.2023 um 20:05:24 Uhr
Goto Top
Moin...
Zitat von @Fohnbit:

ok danke ... dann muss das Plattmachen vorgezogen werden.
und natürlich alle... wirklich alle zugangsdaten ändern!

Frank
Fohnbit
Fohnbit 03.05.2023 um 09:16:53 Uhr
Goto Top
Hallo!

Es läuft ein Magento 2 Shop auf dem Server. Ist ein virtueller Webserver von einem Provider mit vollem SSH Zugriff.

Zugänge wurden als erstes geändert ... aber wie schon gesagt, alles platt machen. Backups existieren nur zum Teil, aber die Anpassungen können ja vom alten rauskopiert werden.
chiefteddy
chiefteddy 03.05.2023 um 09:19:37 Uhr
Goto Top
Vorsicht! Alles was vom alten System "rauskopiert" wird, kann kompromittiert sein und das neue System wieder infizieren.

Jürgen
Fohnbit
Fohnbit 03.05.2023 um 09:30:52 Uhr
Goto Top
Zitat von @chiefteddy:

Vorsicht! Alles was vom alten System "rauskopiert" wird, kann kompromittiert sein und das neue System wieder infizieren.

Jürgen

Ja natürlich ... es geht aber um den selbst eingefügten php code ... der sollte überschaubar sein und "leserlich"
chiefteddy
chiefteddy 03.05.2023 um 10:05:17 Uhr
Goto Top
Aber genau um solchen Code geht es.
Zeile für Zeile überprüfen, ob da etwas steht, was da nicht hingehört.

Jürgen
heart1
Vision2015
Vision2015 03.05.2023 um 19:59:49 Uhr
Goto Top
Moin...
Zitat von @chiefteddy:

Aber genau um solchen Code geht es.
Zeile für Zeile überprüfen, ob da etwas steht, was da nicht hingehört.
oder die Tür aufmacht für Gäste face-smile

Jürgen

Frank
gelöstFrageServer
Mehr von FohnbitFohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 34 KommentareFohnbitEdge und Chrome Druckfenster öffnet langsamFohnbit - 6 KommentareFohnbitPC im lokalen Netzwerk per Name ansprechenFohnbit - 15 KommentareFohnbitChrome als Standard Browser über GPOFohnbit - 6 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 21 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare