Server hacked - was nun?

[Ronald Nickel]

So, nun hats nen Kollegen von mir auch erwischt!

Eine Viruswarnung bezüglich einer Datei im lokalen /Temp/-Ordner lies das Antivir Programm Alarm schlagen.
Gefunden:"VirTool:JS/Obfuscator.BN "

Nachweislich ist der Bösewicht laut Logdaten über das FTP-Passwort auf den Server gelangt und hat das Script händisch ans Ende der index gesetzt.
Ich habe mir überlegt, ob man nicht evtl. via Cronjob die Dateigößensumme aller auf dem Server befindlichen Dateien Hashed und mit einer Checksumme angleicht. Wird eine Datei also geändert müsste es da ja sofort eine Differensz ergeben die beispielsweise ein Mail an den Admin ausgibt oder die seite automatsch sperrt.

Hab jemand evtl. einen besseren Workarround?

Gruß Ronny

 

[PH]

server wurde also nicht gehackt, sondern nur das FTP passwort

klingt ähnlich wie die vor ein paar jahren gehackten filezilla-passwörter

angriffsvektor waren wieder mal warez, denen ein trojaner untergeschoben wurde
oder alternativ infizierte iframes auf drittseiten, die über einen exploit den trojaner einschleusten

der trojaner übermittelte dann die ungeschützte filezilla-passwortdatei (aber wahrscheinlich auch datendateien von anderen ftp programmen, nicht nur FZ) an einen bot
der bot loggt sich dann per ftp ein und verändert jede datei, die index oder main im namen enthält und fügt einen weiteren iframe hinzu, entweder um clickbetrug zu betreiben und/oder den trojaner weiterzuverbreiten.

das mit dem vorgeschlagenen CRON ist nicht schlecht, ich frage mich jedoch wozu du einen hash brauchst und nicht einfach das im system gespeicherte änderungsdatum verwendest.

viel sicherer wäre, wenn der FTP-Zugriff auf die IP des Admins beschränkt wäre (kann man relativ einfach einstellen, auch auf ein subnet)

 

[Ronald Nickel]

Ok nun weiß ich auch endlich WER Schuld hat:
Filizilla ist schuld!

Und für alle JS-Interessierten habe ist das besagte script ,al als Screenshoot (GIF)

hier hinterlegt

Gruß Ronny

 

[Flips]

Eventuell auf SCP und Keyfiles umsteigen. Wenn es sich um einen deutschen Hacker handelt, solltest du auf jeden Fall eine Anzeige erstatten.

 

[gigi80]

Würde den Server sofort neu installieren - alle OS/DB Passwörter ändern und PWs generell nicht in Tools wie FZ oder SCP saven -> händisch eingeben

Mfg,
Gigi

 

[Max Headroom]

Ich dacht auch mich erwischts nicht.

Doch neuilich wollt meien Freundin unbedingt irgendwas mit Bildern machen am Notebook.
danach hatte ich ein Rootkit und jede Menge Stress

Vermute der USB-Stick, den sie bei einem Terminal eines Fotoladens benutz hatte war schuld.

 

[alex72]

Hallo zusammen,

interessantes Thema. Habe nämlich auch so ein ähnliches Problem. Mein Shop läuft 100%, alles ok, nur sind (nicht immer) in der FTP-logdatei Chinesische Zeichen

Nutze auch FZ als FTP Zugang und wechsele öfters die PW.
Gebe die PW auch händisch jedesmal ein. Laut Hoster ist alles ok

Verstehe nur nicht woher diese "angeblichen" Bots herkommen?

Schaden scheinen diese nicht anzurichten, nur wie kommt das da hin und was kann ich dagegen tun?

Danke.


<<Erzwungene Zeilenumbrüche in den Sätzen entfernt>>

 

[Max Headroom]

@alex72

Passwörter wechsel ich nie! Außer, wenn ich den Verdacht hab jemand anders hat Zugang. Das war aber noch nie der Fall.

Aus Sicherheitsgründen, weil das neue PW sicherer ist musst Du jedenfalls nicht wechseln. Das alte PW ist ja nicht abgenutzt, zumindest wenn Du nicht "delfin55" als PW hast.
Sicheres Passwort erzeugen
Sicheres Passwort besteht aus Buchstaben Zahlen und Sonderzeichen

Ein vernünftiges PW zu knacken dauert ewig. Wenn Du jetzt 10.000 Login-Versuch pro Sekunde zulässt dauert es immer noch ewig. Und man kann ja die Logins beschränken, dass bei einem Fehlversuch erst nach 10 Sek ein neuer Versuch möglich ist.

 

[Heidnick]

QUOTE (Ronald Nickel @ Do 25.08.2011, 12:15) Ich habe mir überlegt, ob man nicht evtl. via Cronjob die Dateigößensumme aller auf dem Server befindlichen Dateien Hashed und mit einer Checksumme angleicht. Wird eine Datei also geändert müsste es da ja sofort eine Differensz ergeben die beispielsweise ein Mail an den Admin ausgibt oder die seite automatsch sperrt.

Wenn jemand so ein Script besitzt / schreibt bitte unbedingt bei mir melden. Ich suche so etwas schon seit Monaten, kann aber selbst nichts in der Richtung schreiben. Wäre sehr dankbar!

 

[Michael Bieri]

Etwas vereinfacht genügt für diesen Check auch eine Abfrage über das Änderungsdatum. Unter Linux ist sowas dann mit einem 1-Zeiler gelöst, z.B für alle geänderten Files innerhalb der letzten 24h:
CODE find . -type f -mtime -1 | mail -e -s"Aktualisierte Dateien" hello@world.space


Die Variante über eine MD5-prüfsumme ist aber fast genausoeinfach zu lösen mit md5sum, als Lösungsansatz:
Schritt 1, Prüfsummen erfassen:

CODE md5sum *.php > /some/place/checksum.txt


Schritt 2, Kontrolle:

CODE md5sum -c /some/place/checksum.txt | grep FEHLSCHLAG | mail -e -s"Aktualisierte Dateien" hello@world.space