Spam Script unterbinden

S

Speedysurf

New Member
Ab und an werden die Webseiten von Kunden (Joomla, WP) für den Spamversand missbraucht. Es wird in irgendeinem Verzeichnis eine php Datei abgelegt und diese dann permanent aufgerufen.
Dies passiert häufig in der Nacht, so dass ich erst am Morgen die Datei löschen kann und nun schon 6-7 Stunden Spam verschickt wurde.
Wie geht ihr mit solchen php Dateien um? Mir ist klar, dass die CMS aktuell sein müssen, aber manchmal gibt es eben doch Erweiterungen die nicht ganz sauber sind.

Ich stelle mir vor, dass bspw. alle 10min nach solchem Schadscript gesucht wird, auf dieses den Zugriff sperren und ich per Mail informiert werde.

Für einen Lösungsansatz wäre ich dankbar.

Ich habe es wie folgt versucht:
grep -r -l "eval(base64" /var/www/virtual/example1.de/ | xargs chmod 000

So wäre ja zumindest die Datei nicht mehr abrufbar. Zusätzlich möchte ich aber noch eine Benachrichtigungsmail, dass die Datei gefunden wurde und die Berechtigung angepasst ist.
 
Last edited by a moderator:
Generell kann ich da die Comodo WAF (kostenfrei) und cxs (einmalige Gebühr) empfehlen. Letzterer kann sowohl live Uploads überprüfen als auch per Cron.
 
eval(base64 ist kein sicheres Indiz auf ein unsicheres Script. Viele "hardcoden" damit ein Copyright Vermerk damit man es mit Strg+F nicht findet.
 
Last edited by a moderator:
Danke für die Info.
Sollte wirklich ein false positiv auftreten kann man die Berechtigung ja wieder anpassen. Bisher habe ich noch kein File gefunden, welches es nutzt.
Ich hatte ja in meinem Post die grep Option. Wie kann ich das Ergebnis da per Mail empfangen?
 
Gesetzwidrig in fremden Daten rumschnüffeln?
Ich hoffe Du hast einen guten Anwalt, hohe Rücklagen und gegebenenfalls genug Zeit für einen Urlaub auf Staatskosten.
 
Wieso? Dann dürfte ich ja überhaupt keinen Scan laufen lassen. Ich bin verantwortlich für den Server und evtl. Missbrauch. Das ich da irgendwo schnüffel weise ich mal stark von mir.
 
Speedysurf said:
Dann dürfte ich ja überhaupt keinen Scan laufen lassen.
Click to expand...
Richtig.

Speedysurf said:
Ich bin verantwortlich für den Server und evtl. Missbrauch.
Click to expand...
Ja, für den Server. Nur für den Server. Nicht aber für fremde Daten, die sind absolut tabu.

Speedysurf said:
Das ich da irgendwo schnüffel weise ich mal stark von mir.
Click to expand...
Was tut denn Dein Script? Es schnüffelt in fremden Daten, Punkt. Datenschutz, Persönlichkeitsrechte, Urheberrechte und die sogenannten Hackerparagraphen und mehr lassen grüssen.
Hast Du einen expliziten schriftlichen Auftrag des Dritten zum Durchsuchen seiner Daten? Nein? Dann lass es!

Mach lieber Deinen Job und sichere den Server so ab, dass ein Missbrauch dessen unterbunden ist, und zwar ohne fremde Daten anzufassen. Wenn Du das nicht kannst, dann musst Du jemanden einstellen der das kann.
 
Dann "schnüffeln" ja die "großen" Provider auch in den Daten. Denn diese sperren den Zugriff auf schädliche Dateien auch.
Im Übrigen kenne ich alle Kunden und verwalte die entsprechenden Webseiten und somit auch die Daten. Wenn Kunden allerdings das Update auf aktuelle CMS Versionen noch nicht wollen, kommt es eben zu solchen Problemen.
Aber ich denke, dass wir hier vom Theme abschweifen. Offensichtlich ist dies hier kein Serversupportforum, sondern eine Plattform zur Rechtsberatung.
 
Hier ist einer der schönen Punkte wo das Gesetz sich halt mal wieder selber in den Hintern beißt und der Betreiber der Blöde bei der Sache ist.
Zum Einen sind Betreiber dazu aufgefordert die Sicherheit zu gewährleisten und dafür Sorge zu tragen dass sie und ihre Kunden nicht anderen Schaden zu fügen soweit es technisch machbar ist. Zur anderen Seite kommt irgend ein verkappter Datenschutz-Spezialist und schreit "darfst du nicht. äääätsch"

Hast Du einen expliziten schriftlichen Auftrag des Dritten zum Durchsuchen seiner Daten? Nein? Dann lass es!
Click to expand...
Kunden sind keine "Dritten" sondern Vertragspartner, das ist hier sehr wichtig!
Verträge, mündlich oder schriftlich, haben generell implizit oder explizit eine Klausel dass der Betreiber die zur Wahrung der Sicherheit und Integrität notwendigen Schritte durchführen darf sofern sie angemessen sind. Ausser man landet zu Hamburg, sollte jeder Richter im Zweifelsfall einsehen dass ein Antivirus-Scan keinen unverhältnismäßigen Einschnitt in die Privatsphäre darstellt.

Datenschutz, Persönlichkeitsrechte, Urheberrechte und die sogenannten Hackerparagraphen
Click to expand...
Moment mal! Der Hackerparagraph beschränkt sich auf den Zugriff auf geschützte Dateien. Kein mir bekannter Antivirus späht Passwörter aus oder bruteforced Zugänge. Hier hat wohl jemand Virus mit Antivirus verwechselt? :D

Ich, als Laie, wage mal zu behaupten dass ein Antivirus (also ein Programm das weder normale Dateien loggt noch manuelle Überwachung oder Eingriff bedarf) weder Persönlichkeitsrechte noch allgemeine Persönlichkeitsrechte zu verletzen vermag. Dabei geht es in aller Regel um Verwendung und Verbreitung von Informationen und Darstellungen.

Das Urheberrecht kann nur durch Kopieren aber nicht Anschauen verletzt werden. Mehr tut ein Antivirus auch nicht - somit auch aussen vor.

Datenschutz - hier könnte man bestimmt einen Strick drehen, das ist ja modern. Da aber weder Daten noch Auswertungen in direkter Relation zum Kunden gespeichert werden wüsste ich nicht wie wie.


TLDR: Informiere deine (direkten) Kunden über die Verwendung entsprechender Tools zur Sicherheitsgewährleistung. Wem es nicht passt kann sich ja woanders einen Platz suchen. Beispielsweise bei Google's Blogger-Dienst, die speichern garantiert nichts :rolleyes:

Zum Schluss ein kleines Zitat des Datenschutzbeauftragten einer Hochschule: wenn ich wählen muss ob ich die Keule der Datenschützer oder die Keule der Polizei im Fall der Fälle zu spüren kriege, wähle ich die Datenschützer. Das tut wenigstens nicht wirklich weh.



PS:
Mach lieber Deinen Job und sichere den Server so ab, dass ein Missbrauch dessen unterbunden ist, und zwar ohne fremde Daten anzufassen. Wenn Du das nicht kannst, dann musst Du jemanden einstellen der das kann.
Click to expand...
Ok du bist geheuert. Aber bitte so dass die Wordpress-, Joomla-, wasauchimmer Plugins mit greulichem Code und seltsamen Aufrufen weiterhin funktioniert! Und das ab erster Minute!
 
Last edited by a moderator:
Zumindest für Wordpress kannst du dir mal Wordfence anschauen.

Habe ich selbst erst letzte Woche entdeckt und das sieht mir ganz brauchbar aus.
 
You must log in or register to reply here.
Back
Top