spamscript auf meinem server

M

Manuela

New Member
Hallo,

ich hab auf meinem Server in verschiedenen Dateien ein Script endeckt. Jetzt kann ich mir auch erklären wieso mein Server Spam versendet.

Kann mir von euch jemand sagen wie ich das genau Prüfe?

Ich hab z.b den Code von dem Script aus einer Datei gefunden und natürlich gleich entfernt. Ich vermute aber das Script steckt noch wo anderst drin..

Wie find ich jetzt geraus wo das Script überall eingebaut ist.. Jede Datei zu öffnen währe und zu sehen ist nicht machbar ist einfach zu viel..

Gibt es einge Möglichkeit nach einem bestimmten <script>kjhlkj</script> über die Konsole zu suchen?
 
Code: 
grep -ilr kjhlkj /var/www
Damit würdest Du kjhlkj in allen Files unter /var/www finden.

Grüsse
Basti
 
Hallo,

das klappt irgendwie nicht. Oder ich mach was falsch. Ich weiß nicht in welchem Verzeichnis der Inhalt ist.. Es muss in irgendeinem web sein

grep -ilr var FekezDeks=String;var /var/www/web1/html

Das hab ich z.b versucht ich wollte den Ordner html und dessen Inhalt

grep: FekezDeks=String: Datei oder Verzeichnis nicht gefunden
-bash: var: command not found

Mit welcher Eingabe such ich nach dem Script


MOD: Script als PNG angehängt.

Am besten die ganzen webs durchsuchen
 

Attachments

  • script.png
    script.png
    58.2 KB · Views: 155
Last edited by a moderator:
Sowohl = als auch ; haben and der Shell eine spezielle Bedeutung und müssen escaped werden (z.B. mit \).
Alternativ kannst Du auch einen . als Wildcard an die Stelle setzen.
 
Such doch einfach nur nach

Code: 
grep -ilr FekezDeks /var/www/web1/html
Und dann würde ich direkt in dem ordner www suchen und nicht in jedem web einzeln
 
Sven3004 said:
Such doch einfach nur nach

Code: 
grep -ilr FekezDeks /var/www/web1/html
Und dann würde ich direkt in dem ordner www suchen und nicht in jedem web einzeln
Click to expand...

Viele Dank euch allen.

@Sven deins hab ich genommen. Und Ohaa ich wusste es ^^ In 120 Dateien ist der Inhalt..

Ich weiß was ich die nächsten Tage zu tun habe ^^ :rolleyes: Der Inhalt ist allerdings nur in web1 ^^

Was kann ich tun das sowas nicht vorkommt... Ich werd mal meine Daten ändern.. Gibts sonst noch eine Möglichkeit.

Bin ein wenig geschockt..


Tatsächlich.... Mein Kaspersky meldet Trojan-Clicker.HTML.Iframe.aon

Was kann ich dagegen tun? Und vor allem wie kommen die auf den Server?

Edit: Ich kann die Datei mit meinem Programm nicht mal bearbeiten. Mein ihr ich soll das ausmachen alle Dateien bearbeiten und dann Neu Durchsuchen.. ?

Edit2: Seh gerade hab nur das web1 durchsucht. Werd das jetzt mal nach und nach wieder rausnehmen aus den Dateien. Weiß jemand von euch wie das geht..? Das Script ist in sehr vielen Dateien.. Wie kann das da reinkommen?

Muss ich den Inhalt jetzt einzelnd per Hand rausnehmen aus jeder Datei oder kann ich das auch über die Konsole machen mit einem Befehl ?
 
Last edited by a moderator:
Bitte keine Panik, aber Schritt für Schritt an dieser Stelle das Richtige tun:

1. Sofort (!!!) die Website offline nehmen. Du verteilst Schadcode an deine Besucher und bringst sie damit in große Gefahr. Da du davon weißt, haftest du für alle Schäden, die deinen Besuchern entstehen!

2. Du machst ein Backup der Website im jetzigen Zustand und ein Datenbank-Backup.

3. Wäre es super nett, wenn du eine entsprechende Warnung an der Stelle der Webseite plazierst. Es ist nämlich so gut wie sicher, dass sich bereits Besucher Schadsoftware eingefangen haben. Diese gilt es zu informieren.

4. Du musst die Lücke finden, über die der Schadcode in deine Website eingefügt wurde. Durchsuche das Backup der Website und der Datenbank. Erst wenn du sicher weißt, wie der Schadcode auf die Seite gekommen ist, machst du weiter mit Schritt 5.

5. Du setzt die Website aus den Quellen neu auf und versuchst nicht, etwas zu reparieren. Ist die Datenbank betroffen, wird ein älteres, aber sauberes Backup eingespielt.

6. Du stellst dabei sicher, dass die Lücke, die du im Schritt 4 gefunden hast, gefixt ist und nicht weiter ausgenutzt werden kann.

Nur so bist du auf der sicheren Seite, keinen weiteren Schadan anzurichten.
 
Ach ja.. Alle Dateien bearbeitet + mit Chmod 444 versorgt. Daten des Servers und des Web geändert.

Ich hoff ich hab jetzt ruhe. Sieht in den Log auf jeden Fall so aus..

Edit: Unnötige Script gelöscht
 
Manuela said:
Dennoch danke für die Mühe. :p
Click to expand...

Ich hatte mir die Mühe gemacht, weil ich dich vor einer Vorgehensweise warnen wollte, die dir in Zukunft weiter Probleme machen wird. Leider hast du trotz meiner Ausführung genau so gehandelt.

Um es kurz zu machen: Du behandelst die Symptome, nicht das Problem. Das ganze hat zwei Hacken, auch wenn es für den Moment als Lösung zu funktionieren scheint.

1. Du hast die Lücke nicht gefixt, da du sie nicht kennst. Es ist durchaus möglich, dass morgen wieder Scripts auf allen deinen Seiten sind. Das chmod kann helfen, muss aber nicht. Es ist durchaus möglich, dass über die Lücke andere Angriffe denkbar sind, wie etwa SQL-Injections. Ein Stochern im Trüben auf Kosten der Sicherheit.

2. Du hast ein Script gefunden. Aber du hattest definitiv eine Lücke, über die Dateien verändert wurden. Woher weißt du, dass du nicht ein zweites Script übersehen hast, oder ausführbarer Code ein Backdoor geöffnet hat, oder, oder, oder ...

Deine jetztige Situation ist mehr als trügerisch. Wie du das Problem sauber lösen kannst, hab ich dir geschrieben.
 
Hallo :)

also ich hab alle Scripte vom Server entfernt bis auf 1. Forum (woltlab)

Dort hab ich im Netz Sicherheitslücken endeckt und gefixt.

Wie finde ich jetzt am besten heraus ob noch jemand sein Unwesen treibst auf meinem Server?

Ich hab zb im Maillog noch einige Einträge die nicht von mir kommen. Kannst du mir sagen wie ich das Script ausfindig mache?

delivery temporarily suspended: connect to mx.netlogmail.com[193.164.158.116]: Connection refused)
Jan 19 10:55:44 server postfix/qmgr[7631]: ADD0D4C40467: to=<noreply@netlogmail.com>, relay=none, delay=236436, delays=236434/2/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mx.netlogmail.com[193.164.158.116]: Connection refused)

Und:

Jan 19 11:12:01 server postfix/qmgr[7631]: 71E9D4C40134: removed
Jan 19 11:12:22 server postfix/qmgr[7631]: E6D984C403A2: from=<>, size=10561, nrcpt=1 (queue active)
Jan 19 11:12:22 server postfix/qmgr[7631]: E51BD4C403D6: from=<>, size=8583, nrcpt=1 (queue active)

Sowas hier ^^

Was ist das ^^? Diesen Eintrag hab ich öffter..
 
Last edited by a moderator:
Hast du die Mailqueue nach dem Einbrauch geleert?
Kann gut sein dass noch abgelehnte Spam-Mails in deiner Queue schlummern und vom Server ueber mehrere Tage zustellungs-versucht werden.

Kontrollier danach ob du in DNS-BL's stehst (wie Spamhaus) und lass dich gegebenfalls entfernen
 
Hallo d4f,

wie leere ich den die Mailqueue :rolleyes: Ich hab nur die mail.info geleert dort find ich dann die Einträge :)

In einer Blacklist bin ich Eingetragen barracudacentral.org

server:~# mailq
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
782B64C4035E 1326 Tue Jan 18 14:21:38 web1@meinedomain.de
(Host or domain name not found. Name service error for name=perfect-friends.de type=MX: Host not found, try again)
info@nichtmehrmeinedomain.de

Edit: server:~# postsuper -d ALL
postsuper: Deleted: 1 message

Das meintest du?

Wie kommen den die Einträge oben zustande?

Jan 19 06:29:07 server postfix/qmgr[7631]: 50F034C4042F: to=<noreply@netlogmail.com>, relay=none, delay=225441, delays=225436/5/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mx.netlogmail.com[193.164.158.116]: Connection refused)

Das ist immer das gleiche ^^ Jede Sekunde 5 mal oder so :(
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top