Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Suche nach Schädlichem Code in Scripten

Mitglied: FrankMiller

FrankMiller (Level 1) - Jetzt verbinden

25.03.2010, aktualisiert 27.03.2010, 3892 Aufrufe, 9 Kommentare

Hallo,

ich betreibe einen Unix-Server mit Suse. Um sicherzugehen das keine Scripte mit schädlichem Code befallen sind möchte ich nun folgendes wissen.

Ist es möglich mit dem grep oder findstr (oder anderem Befehl) alle Scripte nach bösartigem Code zu durchsuchen und sich diesen dann anzeigen zu lassen?

Mit lieben Grüßen
Mitglied: nxclass
25.03.2010 um 10:02 Uhr
Nachträglich wird es schwer. Normaler weise benutzt man ja SVN um Änderungen nach zu vollziehen.
Bitte warten ..
Mitglied: brammer
25.03.2010 um 10:18 Uhr
Hallo,

wenn du defineiren kannst was den schädlicher Code ist kannst du diesen auch finden.
Nur, ist eine Codezeile oder eine Passage schädlich?
Beispiel:
Wenn dieser Code gezielt Passwörter sucht und speichert, ist er dann schädlich oder ist es zufälligerweise der selbe Code den dien Passotsafe verwendet?

brammer
Bitte warten ..
Mitglied: FrankMiller
25.03.2010 um 10:25 Uhr
Also auf meinem Server laufen mehrere Scripts. Einige davon wurden in Google (stopbadware) gemeldet. Nur weiß ich nicht wo ich das dann finde das fehlerhafte script. Scheint mir der FTP Virus gewesen zu sein, da der Server nicht kompromitiert wurde, sondern nur der vhost
Bitte warten ..
Mitglied: adminst
25.03.2010 um 11:27 Uhr
Das kommt davon, wenn der Server nicht anständig abgesichert wurde.
Ich würde sicher mal den RootKit Hunter laufen lassen + dem ClamAV auf die Suche schicken.
Aber das wichtigste ist, sofort die betroffene Seite offline schalten!
Jenachdem liegts nicht nur am Skript, denn evtl wurde auch ne Phisingseite usw. versteckt.

Gruss
adminst
Bitte warten ..
Mitglied: FrankMiller
25.03.2010 um 14:23 Uhr
Also die Seite habe ich SOFORT gesperrt. Auf Rootkits habe ich schon geprüft, ohne ergebnisse. Der Fehler befindet sich ausschließlich hier:

srv/www/vhosts/DOMAINNAME

Nur wo genau?
Bitte warten ..
Mitglied: dog
25.03.2010 um 20:01 Uhr
Script-Kiddie Tools lassen sich leicht bei der Suche nach mysql_connect aufspüren.
Wenn Google aber eine Seite sperrt bedeutet das in der Regel, dass es sich um Javascript Inclusion handelt.
Also guck dir einfach den Quellcode der Seite an wo Javascript eingebunden wird was da nicht hingehört und such dann danach.
Bitte warten ..
Mitglied: nxclass
26.03.2010 um 08:20 Uhr
... solcher JS Code (XSS) findet sich dann meistens auch in der DB.
Bitte warten ..
Mitglied: FrankMiller
26.03.2010 um 10:22 Uhr
Zitat von adminst:
Das kommt davon, wenn der Server nicht anständig abgesichert wurde.
Ich würde sicher mal den RootKit Hunter laufen lassen + dem ClamAV auf die Suche schicken.
Aber das wichtigste ist, sofort die betroffene Seite offline schalten!
Jenachdem liegts nicht nur am Skript, denn evtl wurde auch ne Phisingseite usw. versteckt.

Gruss
adminst

Absicherung geht dann wie folgt?
Der Schadcode wurde ja per FTP eingeschleust. Dagegen kann ich mich ja nicht direkt wehren weil es Clientsache ist, oder?
Bitte warten ..
Mitglied: FrankMiller
26.03.2010 um 10:30 Uhr
Im Endeffekt würde mich interessieren was ich nun genau tun kann um sowas zu vermeiden (Fehler lag ja nicht am Server sondern am Client der das hochgeladen hat)
Bitte warten ..
Ähnliche Inhalte
Microsoft Office
Excel Such- und Vergleichsfunktion
gelöst Frage von oesi1989Microsoft Office15 Kommentare

Hallo zusammen, ich habe 2 Tabellen mit Name, Vorname und Arbeitgeber. 1. Tabelle Name Vorname Geb-Datum Arbeitgeber Straße Ort ...

Exchange Server
Such-Index nach Neuerstellung defekt
Frage von CoverianExchange Server

Guten Morgen zusammen, wir haben hier aktuell ein Problem das mir schlaflose Nächte bereitet. Es handelt sich um einen ...

Batch & Shell
Wlan-adapter such algorithmus in batch
gelöst Frage von TicoWriteBatch & Shell7 Kommentare

Hallo zusammen, Ich möchte einen Wlan-adpater such algorithmus in batch erstellen, dazu fehlt mir aber der befehl in Dos. ...

Exchange Server

Exchange-Fehler: 550 No such recipient here

gelöst Frage von GreysonExchange Server3 Kommentare

Hallo administrator.de, habe seit heute an meinem Exchange die Fehlermeldung: #550 No such recipient here Diese Meldung erhalte ich ...

Neue Wissensbeiträge
Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 22 StundenWindows 7

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 3 TagenInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 4 TagenMicrosoft Office7 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 6 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
Virtualisierung
Unix System virtualisieren
Frage von BananenmeisterVirtualisierung10 Kommentare

Hallo Zusammen, Ich möchte gerne eine Virtualisierungs-Software auf meinem kleinen ML Server installieren um einige Unix Systeme zu virtualisieren. ...

Hyper-V
Chaosbeseitigung in Domainlandschaft
Frage von Rolf935Hyper-V10 Kommentare

Hallo zusammen, ich hätte gerne mal ein paar praktische Tipps oder Hinweise. Derzeit haben wir einen NAS als Fileserver ...

LAN, WAN, Wireless
Lancom und VLANs
Frage von TimmheLAN, WAN, Wireless10 Kommentare

Hallo an alle ich habe momentan ein sehr merkwürdiges problem bei dem ich nicht mehr weiter komme und hoffe ...

Notebook & Zubehör
Hardware defekt ?
Frage von mausemuckelNotebook & Zubehör9 Kommentare

Hallo und ein schönes Osterfest an alle. Ich benötige mal euer Schwarm wissen. Ich habe hier ein Notebook Lenovo ...