9
Suche nach Schädlichem Code in Scripten
Hallo,
ich betreibe einen Unix-Server mit Suse. Um sicherzugehen das keine Scripte mit schädlichem Code befallen sind möchte ich nun folgendes wissen.
Ist es möglich mit dem grep oder findstr (oder anderem Befehl) alle Scripte nach bösartigem Code zu durchsuchen und sich diesen dann anzeigen zu lassen?
Mit lieben Grüßen
ich betreibe einen Unix-Server mit Suse. Um sicherzugehen das keine Scripte mit schädlichem Code befallen sind möchte ich nun folgendes wissen.
Ist es möglich mit dem grep oder findstr (oder anderem Befehl) alle Scripte nach bösartigem Code zu durchsuchen und sich diesen dann anzeigen zu lassen?
Mit lieben Grüßen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 139127
Url: https://administrator.de/contentid/139127
Ausgedruckt am: 15.11.2024 um 11:11 Uhr
9 Kommentare
Neuester Kommentar
Nachträglich wird es schwer. Normaler weise benutzt man ja SVN um Änderungen nach zu vollziehen.
Hallo,
wenn du defineiren kannst was den schädlicher Code ist kannst du diesen auch finden.
Nur, ist eine Codezeile oder eine Passage schädlich?
Beispiel:
Wenn dieser Code gezielt Passwörter sucht und speichert, ist er dann schädlich oder ist es zufälligerweise der selbe Code den dien Passotsafe verwendet?
brammer
wenn du defineiren kannst was den schädlicher Code ist kannst du diesen auch finden.
Nur, ist eine Codezeile oder eine Passage schädlich?
Beispiel:
Wenn dieser Code gezielt Passwörter sucht und speichert, ist er dann schädlich oder ist es zufälligerweise der selbe Code den dien Passotsafe verwendet?
brammer
Also auf meinem Server laufen mehrere Scripts. Einige davon wurden in Google (stopbadware) gemeldet. Nur weiß ich nicht wo ich das dann finde das fehlerhafte script. Scheint mir der FTP Virus gewesen zu sein, da der Server nicht kompromitiert wurde, sondern nur der vhost 
Das kommt davon, wenn der Server nicht anständig abgesichert wurde.
Ich würde sicher mal den RootKit Hunter laufen lassen + dem ClamAV auf die Suche schicken.
Aber das wichtigste ist, sofort die betroffene Seite offline schalten!
Jenachdem liegts nicht nur am Skript, denn evtl wurde auch ne Phisingseite usw. versteckt.
Gruss
adminst
Ich würde sicher mal den RootKit Hunter laufen lassen + dem ClamAV auf die Suche schicken.
Aber das wichtigste ist, sofort die betroffene Seite offline schalten!
Jenachdem liegts nicht nur am Skript, denn evtl wurde auch ne Phisingseite usw. versteckt.
Gruss
adminst
Also die Seite habe ich SOFORT gesperrt. Auf Rootkits habe ich schon geprüft, ohne ergebnisse. Der Fehler befindet sich ausschließlich hier:
srv/www/vhosts/DOMAINNAME
Nur wo genau?
srv/www/vhosts/DOMAINNAME
Nur wo genau?
Script-Kiddie Tools lassen sich leicht bei der Suche nach
Wenn Google aber eine Seite sperrt bedeutet das in der Regel, dass es sich um Javascript Inclusion handelt.
Also guck dir einfach den Quellcode der Seite an wo Javascript eingebunden wird was da nicht hingehört und such dann danach.
mysql_connect aufspüren.Wenn Google aber eine Seite sperrt bedeutet das in der Regel, dass es sich um Javascript Inclusion handelt.
Also guck dir einfach den Quellcode der Seite an wo Javascript eingebunden wird was da nicht hingehört und such dann danach.
... solcher JS Code (XSS) findet sich dann meistens auch in der DB.
Zitat von @adminst:
Das kommt davon, wenn der Server nicht anständig abgesichert wurde.
Ich würde sicher mal den RootKit Hunter laufen lassen + dem ClamAV auf die Suche schicken.
Aber das wichtigste ist, sofort die betroffene Seite offline schalten!
Jenachdem liegts nicht nur am Skript, denn evtl wurde auch ne Phisingseite usw. versteckt.
Gruss
adminst
Das kommt davon, wenn der Server nicht anständig abgesichert wurde.
Ich würde sicher mal den RootKit Hunter laufen lassen + dem ClamAV auf die Suche schicken.
Aber das wichtigste ist, sofort die betroffene Seite offline schalten!
Jenachdem liegts nicht nur am Skript, denn evtl wurde auch ne Phisingseite usw. versteckt.
Gruss
adminst
Absicherung geht dann wie folgt?
Der Schadcode wurde ja per FTP eingeschleust. Dagegen kann ich mich ja nicht direkt wehren weil es Clientsache ist, oder?
Im Endeffekt würde mich interessieren was ich nun genau tun kann um sowas zu vermeiden (Fehler lag ja nicht am Server sondern am Client der das hochgeladen hat)
