tag:forum.selfhtml.org,2005:/self rsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich? – SELFHTML-Forum 2021-03-30T11:33:22Z https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786607?srt=yes#m1786607 Jörg 2021-03-30T09:06:31Z 2021-03-30T09:06:31Z rsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich? <p>Hallo,</p> <p>ich arbeite mit php-Storm und nutze als Versionskontrolle mercurial. Hat bisher immer gut funktioniert. Auf den server update ich über rsync.</p> <p>Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv <strong>nicht</strong> bearbeitet habe.</p> <p>Wie und wo suche ich denn nun den "Schuldigen" hierfür?</p> <p>Bei phpStorm? Bei rsync? Beim Hoster, Bei Mercurial?</p> <p>Weiß nicht, wo und wie ich hier ansetzen soll?</p> <p>Jörg</p> https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786608?srt=yes#m1786608 Rolf B 2021-03-30T09:19:55Z 2021-03-30T09:20:10Z rsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich? <p>Hallo Jörg,</p> <p>ich auch nicht, aber mein erstee Schritt wäre, die Passwörter zu ändern und zu schauen, was dann weiter passiert.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786609?srt=yes#m1786609 dedlfix 2021-03-30T10:10:05Z 2021-03-30T10:10:05Z rsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich? <p>Tach!</p> <blockquote> <p>Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv <strong>nicht</strong> bearbeitet habe.</p> <p>Wie und wo suche ich denn nun den "Schuldigen" hierfür?</p> </blockquote> <p>Ein Intrusion Detection System kann einige Dinge aufzeigen. Es gibt davon einfache Systeme, die einen Hash über Dateien bilden und diesen regelmäßig kontrollieren. Aber auch umfangreichere, die zum Beispiel Datenpakete kontrollieren. Ich würde erstmal eine Hashwert-Kontrolle aufsetzen, um zu sehen, wo Änderungen sind. Dann solltest du kontrollieren, welcher Art die Änderungen sind. Wenn es Schadcode ist, such nach der Ursache. Einfache Angreifer ändern das Datum der Dateien nicht willentlich, so dass du den Bearbeitungszeitpunkt sehen kannst. Damit kannst du Logfiles durchsuchen.</p> <p>dedlfix.</p> https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786610?srt=yes#m1786610 Der Martin 2021-03-30T10:19:17Z 2021-03-30T10:19:17Z rsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich? <p>Hi,</p> <blockquote> <p>Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv <strong>nicht</strong> bearbeitet habe.</p> </blockquote> <p>sind sie denn dann verändert?<br> Wenn ja, editiert wohl "jemand anders" dran rum, den es zu finden gilt.</p> <p>Oder kommt irgendein Programm in deiner Toolchain nicht korrekt mit der Zeitumstellung klar und bildet sich nun geänderte Timestamps ein?</p> <p>Live long and <s>pros</s> healthy,<br>  Martin</p> <div class="signature">-- <br> Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren. </div> https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786612?srt=yes#m1786612 Raketenwilli 2021-03-30T11:19:37Z 2021-03-30T11:19:37Z rsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich? <blockquote> <p>Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv nicht bearbeitet habe.</p> </blockquote> <p>Da ist „ein wenig dünn“ und wenn Du bei einem solchen Problem keine besseren Auskünfte gibst muss ich wohl systematisch fragen:</p> <ul> <li>In welcher Richtung wird denn synchronisiert?</li> <li>Hast Du die Dateien erstellt oder sind es neue?</li> <li>Haben die Dateien aus Deiner Sicht eine Existenzberechtigung?</li> <li>Ist der Inhalt der Dateien auffällig?</li> <li>Wird auf die Dateien von außen mit der http-Methode "POST" zugegriffen?</li> </ul> <p>Das letzte Mal, dass ich scheinbar willkürlich aufscheinende Dateien gesehen habe, waren es massenhaft (ca. 1000) Webshells, die nach einem Angriff auf Wordpress installiert und dann verkauft wurden. Der Neukunde hat sich gemeldet als Mails bei T-Online nicht mehr ankamen UND sein Server stand, weil die Platte mit nicht zustellbaren und an den root zurückgeschickten Mails voll war…</p> <p>Ich frage deshalb:</p> <ul> <li>Kannst Du eine solche Webshell erkennen oder ausschließen?</li> </ul> https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786613?srt=yes#m1786613 Raketenwilli 2021-03-30T11:33:22Z 2021-03-30T11:33:22Z rsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich? <p>Im Hinblick auf meine Erfahrungen:</p> <p>Liefert denn einer der folgenden Befehle (im Verzeichnis mit den Daten ausführen) etwas unerwartetes?</p> <pre><code class="block">grep -Rn "POST" grep -Rn "STOP" </code></pre> <p>Im Hinblick auf die <a href="https://www.heise.de/news/PHP-Repository-wechselt-nach-mysterioesen-Schad-Code-Commits-zu-GitHub-6001439.html" rel="nofollow noopener noreferrer">aktuelle Nachrichtenlage</a>:</p> <p>Liefert denn einer der folgenden Befehle (im Verzeichnis mit den Daten ausführen) überhaupt etwas?</p> <pre><code class="block">grep -Rn "zerodium" grep -Rn "HTTP_USER_AGENTT" </code></pre>