Bernd: Gehackt. Suche nach Fehler. Wie es passiert ist

Ich würde gehackt. Nach dem die Panik vorüber ist würde ich gerne die Ursache ergründen. Bei mir wurden zwei Verzeichnisse in meinem Webspace erstellt mit Datum vom 1.Oktober weiter wurde die index.php verändert.

Allerdings sagt das Datum nichts davon, sondern es zeigt immer noch das Erstellungsdatum an. Das würde wiederum heissen das ich keinen Datum trauen kann. (Mist)

Zuerst wollte ich sofort alles löschen. Doch nun würde ich gerne rausbekommen über welche Datei, die BÖSEN in mein Reich eingedrungen sind. Irgendetwas muss ich ja falsch gemacht haben.

Gibt es da einen weg wie ich da am besten Vorgehen kann um die Einfallstüre zu finden.

Bernd

  1. Tach!

    Allerdings sagt das Datum nichts davon, sondern es zeigt immer noch das Erstellungsdatum an. Das würde wiederum heissen das ich keinen Datum trauen kann. (Mist)

    Dateidatümer kann man beliebig manipulieren. Das ist keine durch das Betriebssystem geschützte Eigenschaft.

    Gibt es da einen weg wie ich da am besten Vorgehen kann um die Einfallstüre zu finden.

    Logfiles prüfen. Besonders nach POST-Requests. Ich geh mal davon aus, dass sie über die Webseiten reingekommen sind. SSH, wenn vorhanden, oder FTP wären auch noch zwei naheliegende Kandidaten. Aber ohne konkretes Datum ist das die Nadel im Heuhaufen, besonders wenn viele reguläre POST-Requests reinkommen. Ein Tool wie AIDE oder ein anderes Intrusion Detection System kann helfen, Änderungen zeitnah angezeigt zu bekommen.

    dedlfix.

    1. Hallo dedlfix,

      sind die Logfiles gegen Manipulation geschützt?

      Rolf

      --
      sumpsi - posui - clusi
      1. Hello,

        sind die Logfiles gegen Manipulation geschützt?

        wenn man einen separaten Logserver (remote Host) nutzt, weitestgehend. Dann müssten dort die Logeinträge bis zur Übernahme der Kontrolle über das Logsystem vorliegen.

        Liebe Grüße
        Tom S.

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
      2. Tach!

        sind die Logfiles gegen Manipulation geschützt?

        Nein, ziemlich wenig ist gegen Manipulation geschützt. Aber meistens sind die Angreifer nicht darauf aus, völlig unsichtbar zu agieren, sondern einfach nur mit wenig Aufwand ihren Mist zu verbreiten. Oftmals ist es recht einfach, die Manipulationen zu erkennen, weil sie sich nicht an die Umgebung anpassen und ihr Code wie ein Fremdkörper in den befallenen Projekten aussieht. Gerade wenn sie versuchen ihren Code zu verschlüsseln, fällt das in einem Open-Source-Code besonders gut auf.

        dedlfix.