Lord_Icon
Member
Hi,
ich habe heute durch zufall gesehen, das ich diverse Datein auf mein Webspace habe, die ich unmöglich angelegt haben kann.
Es handelt sich hier um verschlüsselte Daten (mit ionCube) die ein ein ISP Programm (ähnlich Confixx) darstellt. Das diese Datei ein Programm vom Server angelegt hat, ist somit unmöglich. Ausserdem leigt es in /srv/www/htdocs/kundenverzeichniss
Also im FTP Bereich, wo normalerweise kein Server Programm reinschreibt.
Da es im Kundenverzeichniss (bzw. in MEIN Privaten Verzeichniss) liegt, ist es auch für die "aussenwelt" erreichbar. Denke als, das verwendet bzw. irgendwie benutzt / getestet wird.
Laut /var/log/messages hat sich heute noch keiner eingeloogt. Über den SSH Port kann diese Datei alsi nicht angelegt worden sein (Timestamp vom Ordner ist heute gegen 9 (wo ich noch gepennt habe) )
Ergo: Datei MUß per FTP hochgeladen worden sein. Und das heißt, das jemand mein Username + passwort irgendwie gehackt hat.
Ja = ftp Passwort wurde beriets geändert.
Um das zukünftig aber zu unterbinden bzw. eher zu bemerken, hier meine Frage:
Frage 1:
Ist es möglich, das das System mir eine Mail schickt, wenn sich jemand per SSH einloggt. ?
Müßte dann ein minütliches Cron Job Script sein, der die messages Datei auswertet. Nur wie müßte dieses heißen ?
Frage 2:
Wo wird denn ein FTP Zugriff geloggt ? Ich habe hier keine Datei im /var/log gefunden. Denn da sollte ja wie bei SSH eine IP geloggt sein (i hope so)
So würde ich ja den "hacker" ausfindig machen könnne ( wenn er kein Proxy / anonymisier verwendet)
DAAAAKEeee..
ich habe heute durch zufall gesehen, das ich diverse Datein auf mein Webspace habe, die ich unmöglich angelegt haben kann.
Es handelt sich hier um verschlüsselte Daten (mit ionCube) die ein ein ISP Programm (ähnlich Confixx) darstellt. Das diese Datei ein Programm vom Server angelegt hat, ist somit unmöglich. Ausserdem leigt es in /srv/www/htdocs/kundenverzeichniss
Also im FTP Bereich, wo normalerweise kein Server Programm reinschreibt.
Da es im Kundenverzeichniss (bzw. in MEIN Privaten Verzeichniss) liegt, ist es auch für die "aussenwelt" erreichbar. Denke als, das verwendet bzw. irgendwie benutzt / getestet wird.
Laut /var/log/messages hat sich heute noch keiner eingeloogt. Über den SSH Port kann diese Datei alsi nicht angelegt worden sein (Timestamp vom Ordner ist heute gegen 9 (wo ich noch gepennt habe) )
Ergo: Datei MUß per FTP hochgeladen worden sein. Und das heißt, das jemand mein Username + passwort irgendwie gehackt hat.
Ja = ftp Passwort wurde beriets geändert.
Um das zukünftig aber zu unterbinden bzw. eher zu bemerken, hier meine Frage:
Frage 1:
Ist es möglich, das das System mir eine Mail schickt, wenn sich jemand per SSH einloggt. ?
Müßte dann ein minütliches Cron Job Script sein, der die messages Datei auswertet. Nur wie müßte dieses heißen ?
Frage 2:
Wo wird denn ein FTP Zugriff geloggt ? Ich habe hier keine Datei im /var/log gefunden. Denn da sollte ja wie bei SSH eine IP geloggt sein (i hope so)
So würde ich ja den "hacker" ausfindig machen könnne ( wenn er kein Proxy / anonymisier verwendet)
DAAAAKEeee..