Jörg: rsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich?

Hallo,

ich arbeite mit php-Storm und nutze als Versionskontrolle mercurial. Hat bisher immer gut funktioniert. Auf den server update ich über rsync.

Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv nicht bearbeitet habe.

Wie und wo suche ich denn nun den "Schuldigen" hierfür?

Bei phpStorm? Bei rsync? Beim Hoster, Bei Mercurial?

Weiß nicht, wo und wie ich hier ansetzen soll?

Jörg

  1. Hallo Jörg,

    ich auch nicht, aber mein erstee Schritt wäre, die Passwörter zu ändern und zu schauen, was dann weiter passiert.

    Rolf

    --
    sumpsi - posui - obstruxi
  2. Tach!

    Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv nicht bearbeitet habe.

    Wie und wo suche ich denn nun den "Schuldigen" hierfür?

    Ein Intrusion Detection System kann einige Dinge aufzeigen. Es gibt davon einfache Systeme, die einen Hash über Dateien bilden und diesen regelmäßig kontrollieren. Aber auch umfangreichere, die zum Beispiel Datenpakete kontrollieren. Ich würde erstmal eine Hashwert-Kontrolle aufsetzen, um zu sehen, wo Änderungen sind. Dann solltest du kontrollieren, welcher Art die Änderungen sind. Wenn es Schadcode ist, such nach der Ursache. Einfache Angreifer ändern das Datum der Dateien nicht willentlich, so dass du den Bearbeitungszeitpunkt sehen kannst. Damit kannst du Logfiles durchsuchen.

    dedlfix.

  3. Hi,

    Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv nicht bearbeitet habe.

    sind sie denn dann verändert?
    Wenn ja, editiert wohl "jemand anders" dran rum, den es zu finden gilt.

    Oder kommt irgendein Programm in deiner Toolchain nicht korrekt mit der Zeitumstellung klar und bildet sich nun geänderte Timestamps ein?

    Live long and pros healthy,
     Martin

    --
    Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
  4. Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv nicht bearbeitet habe.

    Da ist „ein wenig dünn“ und wenn Du bei einem solchen Problem keine besseren Auskünfte gibst muss ich wohl systematisch fragen:

    • In welcher Richtung wird denn synchronisiert?
    • Hast Du die Dateien erstellt oder sind es neue?
    • Haben die Dateien aus Deiner Sicht eine Existenzberechtigung?
    • Ist der Inhalt der Dateien auffällig?
    • Wird auf die Dateien von außen mit der http-Methode "POST" zugegriffen?

    Das letzte Mal, dass ich scheinbar willkürlich aufscheinende Dateien gesehen habe, waren es massenhaft (ca. 1000) Webshells, die nach einem Angriff auf Wordpress installiert und dann verkauft wurden. Der Neukunde hat sich gemeldet als Mails bei T-Online nicht mehr ankamen UND sein Server stand, weil die Platte mit nicht zustellbaren und an den root zurückgeschickten Mails voll war…

    Ich frage deshalb:

    • Kannst Du eine solche Webshell erkennen oder ausschließen?
    1. Im Hinblick auf meine Erfahrungen:

      Liefert denn einer der folgenden Befehle (im Verzeichnis mit den Daten ausführen) etwas unerwartetes?

      grep -Rn "POST"
      grep -Rn "STOP"
      

      Im Hinblick auf die aktuelle Nachrichtenlage:

      Liefert denn einer der folgenden Befehle (im Verzeichnis mit den Daten ausführen) überhaupt etwas?

      grep -Rn "zerodium"
      grep -Rn "HTTP_USER_AGENTT"