tag:forum.selfhtml.org,2005:/selfrsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich? – SELFHTML-Forum2021-03-30T11:33:22Zhttps://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786607?srt=yes#m1786607Jörg2021-03-30T09:06:31Z2021-03-30T09:06:31Zrsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich?<p>Hallo,</p>
<p>ich arbeite mit php-Storm und nutze als Versionskontrolle mercurial. Hat bisher immer gut funktioniert. Auf den server update ich über rsync.</p>
<p>Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv <strong>nicht</strong> bearbeitet habe.</p>
<p>Wie und wo suche ich denn nun den "Schuldigen" hierfür?</p>
<p>Bei phpStorm? Bei rsync? Beim Hoster, Bei Mercurial?</p>
<p>Weiß nicht, wo und wie ich hier ansetzen soll?</p>
<p>Jörg</p>
https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786608?srt=yes#m1786608Rolf B2021-03-30T09:19:55Z2021-03-30T09:20:10Zrsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich?<p>Hallo Jörg,</p>
<p>ich auch nicht, aber mein erstee Schritt wäre, die Passwörter zu ändern und zu schauen, was dann weiter passiert.</p>
<p><em>Rolf</em></p>
<div class="signature">-- <br>
sumpsi - posui - obstruxi
</div>
https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786609?srt=yes#m1786609dedlfix2021-03-30T10:10:05Z2021-03-30T10:10:05Zrsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich?<p>Tach!</p>
<blockquote>
<p>Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv <strong>nicht</strong> bearbeitet habe.</p>
<p>Wie und wo suche ich denn nun den "Schuldigen" hierfür?</p>
</blockquote>
<p>Ein Intrusion Detection System kann einige Dinge aufzeigen. Es gibt davon einfache Systeme, die einen Hash über Dateien bilden und diesen regelmäßig kontrollieren. Aber auch umfangreichere, die zum Beispiel Datenpakete kontrollieren. Ich würde erstmal eine Hashwert-Kontrolle aufsetzen, um zu sehen, wo Änderungen sind. Dann solltest du kontrollieren, welcher Art die Änderungen sind. Wenn es Schadcode ist, such nach der Ursache. Einfache Angreifer ändern das Datum der Dateien nicht willentlich, so dass du den Bearbeitungszeitpunkt sehen kannst. Damit kannst du Logfiles durchsuchen.</p>
<p>dedlfix.</p>
https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786610?srt=yes#m1786610Der Martin2021-03-30T10:19:17Z2021-03-30T10:19:17Zrsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich?<p>Hi,</p>
<blockquote>
<p>Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv <strong>nicht</strong> bearbeitet habe.</p>
</blockquote>
<p>sind sie denn dann verändert?<br>
Wenn ja, editiert wohl "jemand anders" dran rum, den es zu finden gilt.</p>
<p>Oder kommt irgendein Programm in deiner Toolchain nicht korrekt mit der Zeitumstellung klar und bildet sich nun geänderte Timestamps ein?</p>
<p>Live long and <s>pros</s> healthy,<br>
Martin</p>
<div class="signature">-- <br>
Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
</div>
https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786612?srt=yes#m1786612Raketenwilli2021-03-30T11:19:37Z2021-03-30T11:19:37Zrsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich?<blockquote>
<p>Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv nicht bearbeitet habe.</p>
</blockquote>
<p>Da ist „ein wenig dünn“ und wenn Du bei einem solchen Problem keine besseren Auskünfte gibst muss ich wohl systematisch fragen:</p>
<ul>
<li>In welcher Richtung wird denn synchronisiert?</li>
<li>Hast Du die Dateien erstellt oder sind es neue?</li>
<li>Haben die Dateien aus Deiner Sicht eine Existenzberechtigung?</li>
<li>Ist der Inhalt der Dateien auffällig?</li>
<li>Wird auf die Dateien von außen mit der http-Methode "POST" zugegriffen?</li>
</ul>
<p>Das letzte Mal, dass ich scheinbar willkürlich aufscheinende Dateien gesehen habe, waren es massenhaft (ca. 1000) Webshells, die nach einem Angriff auf Wordpress installiert und dann verkauft wurden. Der Neukunde hat sich gemeldet als Mails bei T-Online nicht mehr ankamen UND sein Server stand, weil die Platte mit nicht zustellbaren und an den root zurückgeschickten Mails voll war…</p>
<p>Ich frage deshalb:</p>
<ul>
<li>Kannst Du eine solche Webshell erkennen oder ausschließen?</li>
</ul>
https://forum.selfhtml.org/self/2021/mar/30/rsync-mercurial-phpstorm-hoster-seltsames-verhalten-von-ja-wem-eigentlich/1786613?srt=yes#m1786613Raketenwilli2021-03-30T11:33:22Z2021-03-30T11:33:22Zrsync, mercurial, phpstorm, Hoster: Seltsames Verhalten von ... ja wem eigentlich?<p>Im Hinblick auf meine Erfahrungen:</p>
<p>Liefert denn einer der folgenden Befehle (im Verzeichnis mit den Daten ausführen) etwas unerwartetes?</p>
<pre><code class="block">grep -Rn "POST"
grep -Rn "STOP"
</code></pre>
<p>Im Hinblick auf die <a href="https://www.heise.de/news/PHP-Repository-wechselt-nach-mysterioesen-Schad-Code-Commits-zu-GitHub-6001439.html" rel="nofollow noopener noreferrer">aktuelle Nachrichtenlage</a>:</p>
<p>Liefert denn einer der folgenden Befehle (im Verzeichnis mit den Daten ausführen) überhaupt etwas?</p>
<pre><code class="block">grep -Rn "zerodium"
grep -Rn "HTTP_USER_AGENTT"
</code></pre>