Server Scanning Verwarnung

[Surfme2]

Hallo

ich bin auf der Suche nach einer Problemlösung.

Von meinem Serveranbieter habe ich gestern eine Verwarnung bekommen mein Rootserver würde Server Scanning betreiben.
Laut Beschwerdeführer wurden 15 Seiten in 4 Sekunden heruntergeladen.

Ich kann dieses angebliche Scanning aber nirgends ausmachen. Ich habe meinen Server nun mehrfach auf die laufende Prozesse kontrolliert und konnte dort nichts ungewöhnliches finden.

Habt Ihr vielleicht einen Rat für mich wonach ich noch suchen könnte?
bzw welche Stellen ich noch kontrollieren sollte?

Wäre super wenn Ihr mir hier weiterhelfen könntet.
Vielen Dank

 

[Fritz]

Hallo Surfme2,
wget - r schafft auch mindestens 15 Seiten in 4 Sekunden. Vielleicht ist das gemeint?!
Gruß Fritz

 

[HxD]

Zuerst einmal würde ich an deiner Stelle, die Ports von der Kiste scannen, abgleichen welche du kennst, die in benutzung sind und ungewöhnliche Ports, die offen sind, schließen!

Vlt hats ja doch jemand geschafft sich Zugang zu verschaffen und du hast es garnicht mitgekriegt ^^ Leider kann das jedem passieren, gibt genug Leute, die verdammt viel aufm Kasten haben und sich mit genug Mühe Zugang zu gesicherten Kisten verschaffen können, die Frage ist nur, ob dein Server bzw. wieso gerade deine Kiste, es - soll sich nicht abwertend anhören - "Wert" ist, solch einen Aufwand zu betreiben

 

[Surfme2]

Vielen dank für eure antworten

eigentlich läuft kein wget - ich werde das sicherheitshalber aber nochmal checken...

Zu den Ports:
die sind alle zu und nur die benötigten wie zB- 80, 21, 443 sind entsprechend freigegeben das war das erste was ich geprüft hatte

Warum gerade mein Server das Glück hat - keine Ahnung
Ich würde ihn aber gerne weiter betreiben, denn wenn ich das Problem nicht beheben kann wird mir der Server in den kommenden Tagen vom Rechenzentrum aus dicht gemacht... weil er ja angeblich "Server Scanning" betreibt.

Momentan bin ich echt ratlos wonach ich noch suchen soll ?!

 

[LinuxAdmin]

Als erstes würde ich mal die Log-Dateien des Webservers sehr genau auf Unregelmäßigkeiten untersuchen. Scripte (nicht nur PHP) enthalten leicht Einfallstore, die ausgenutzt werden können.
Genauso können Scripte, die eigentlich nur lokalen Code nachladen sollen, dazu missbraucht werden, Code von anderen Servern nachzuladen, sofern darauf bei der Entwicklung und Konfiguration nicht peinlichst genau geachtet wurde.

Du siehst, es gibt für die bösen Jungs genügend Möglichkeiten, das vom Provider angemahnte Verhalten zu provozieren. Fast alle hinterlassen Spuren, die sich auswerten lassen (natürlich abhängig davon, wie stark das System kompromittiert wurde und davon ob die Log-Dateien frisiert werden konnten, oder nicht).
Es schadet sicherlich nicht, den "aktiven Teil" des Webcontents, der durch Scripte realisiert wird, solange abzuschalten, bis der Fehler gefunden und behoben worden ist.