6
Bestimmte Funktionen in PHP Ubuntu überwachen
Hallo,
kennt Jemand eine Möglichkeit bestimmte Funktionen in PHP zu überachen und zu protokollieren?
Hintergrund ist ein "üblicher" Wordpress-Hack.
Unbuntu 16.04LTS,. Apache 2.4, PHP 7.1, alles auf dem aktuellsten Stand.
Im Root tauchten kryptische Dateien (z.b. abr4.php) auf.
Ok, löschen, backup einspielen.
Aber: Das Wordpress und alle Plugins und Themes war auf dem aktuellsten Stand und sogar durch Wordfence gesichert.
Ich bin das Access-Log zum fraglichen Zeitpunkt durchgegangen, habe aber nichts verdächtiges gefunden.
Was bringt mir also ein Restore wenn der Zugriffsweg unklar ist?
Was wirklich helfen würde wäre ein Log welches protokolliert wann welche Datei erstellt oder verändert wurde und vom welchem PHP-Skript.
Ich kann ja schlecht alle Dateioperationen verbieten.
Ein Befall des SSH Zuganges kann ich sicher ausschiessen (SSH key only, whitelisting ips).
Kennt Jemand eine Möglichkeit solche Befehle (file_put_contents, etc) zu protokollieren?
Stefan
kennt Jemand eine Möglichkeit bestimmte Funktionen in PHP zu überachen und zu protokollieren?
Hintergrund ist ein "üblicher" Wordpress-Hack.
Unbuntu 16.04LTS,. Apache 2.4, PHP 7.1, alles auf dem aktuellsten Stand.
Im Root tauchten kryptische Dateien (z.b. abr4.php) auf.
Ok, löschen, backup einspielen.
Aber: Das Wordpress und alle Plugins und Themes war auf dem aktuellsten Stand und sogar durch Wordfence gesichert.
Ich bin das Access-Log zum fraglichen Zeitpunkt durchgegangen, habe aber nichts verdächtiges gefunden.
Was bringt mir also ein Restore wenn der Zugriffsweg unklar ist?
Was wirklich helfen würde wäre ein Log welches protokolliert wann welche Datei erstellt oder verändert wurde und vom welchem PHP-Skript.
Ich kann ja schlecht alle Dateioperationen verbieten.
Ein Befall des SSH Zuganges kann ich sicher ausschiessen (SSH key only, whitelisting ips).
Kennt Jemand eine Möglichkeit solche Befehle (file_put_contents, etc) zu protokollieren?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 366797
Url: https://administrator.de/contentid/366797
Printed on: April 25, 2024 at 15:04 o'clock
6 Comments
Latest comment
https://www.modsecurity.org/
Im audit mode kannst du dir alles protokollieren lassen, aber etwas Geduld beim einrichten, am Anfang gibt es ein Haufen False Positives.
Gruß Spec
Im audit mode kannst du dir alles protokollieren lassen, aber etwas Geduld beim einrichten, am Anfang gibt es ein Haufen False Positives.
Gruß Spec
Nun alle Plugins ect Entfernen und schauen ob des dann immer noch passiert...
Du kannst aber auch die Schreibrechte Wegnehmen und nur noch im TEMP/Bilder Ordner geben...
Du kannst aber auch die Schreibrechte Wegnehmen und nur noch im TEMP/Bilder Ordner geben...
Hallo,
Das Standardtool dafuer ist inotify.
https://wiki.ubuntuusers.de/inotify/
eine Alternative waere incron:
https://www.howtoforge.com/tutorial/trigger-commands-on-file-or-director ...
Gruss
Das Standardtool dafuer ist inotify.
https://wiki.ubuntuusers.de/inotify/
eine Alternative waere incron:
https://www.howtoforge.com/tutorial/trigger-commands-on-file-or-director ...
Gruss
Hallo,
so etwas in der Art setzen wir bereits ein.
Aber ich bekomme darüber "nur" den Zeitpunkt mit. Aber nicht welches PHP-Skript die Aktion durchgeführt hat.
Dies muss ich dann mit den Access-Log abgleichen was manchmal ungenau ist. Besonders bei einem System mit vielen Zugriffe.
Stefan
Hallo Stefan,
Das ist natuerlich ein grosses Problem, da der Angreifer mit Sicherheit seine Spuren verwischt hat.
Auch kann ssh key only schon ein Problem sein wenn der Angreifer sich den geschnappt hat.
Hier kann dann vielleicht fail2ban weiter helfen.
Das Backup war ein komplettes Systembackup oder nur die Wordpress/php/datenbank ?
Was sagen den die Logs ? Also auth.log , die wtmp,btmp also last -f /var/log/btmp.
Hast Du die History durchgeschaut ? Ich wuerde auch ein check mit rkhunter und clamav mal an start bringen, falls ein rootkit
platziert wurde.
Nur mal so ein paar Ideen am Sonntag
Gruss
Was bringt mir also ein Restore wenn der Zugriffsweg unklar ist?
Das ist natuerlich ein grosses Problem, da der Angreifer mit Sicherheit seine Spuren verwischt hat.
Auch kann ssh key only schon ein Problem sein wenn der Angreifer sich den geschnappt hat.
Hier kann dann vielleicht fail2ban weiter helfen.
Das Backup war ein komplettes Systembackup oder nur die Wordpress/php/datenbank ?
Was sagen den die Logs ? Also auth.log , die wtmp,btmp also last -f /var/log/btmp.
Hast Du die History durchgeschaut ? Ich wuerde auch ein check mit rkhunter und clamav mal an start bringen, falls ein rootkit
platziert wurde.
Nur mal so ein paar Ideen am Sonntag
Gruss
Hallo,
dann koennte vielleicht Tripwire das richtige fuer euch sein ?
Ist ne IDS , kann Angriffe nicht verhindern aber sehr genau protokollieren.
Ist opensource gibt aber auch hier eine Enterprise Version.
Haben wir hauefig auf unseren Linuxsystemen, im Bankenumfeld, eingesetzt.
Ist auch nicht so schwer zu konfigurieren.
https://de.wikipedia.org/wiki/Open_Source_Tripwire
https://www.tripwire.com/
dann koennte vielleicht Tripwire das richtige fuer euch sein ?
Ist ne IDS , kann Angriffe nicht verhindern aber sehr genau protokollieren.
Ist opensource gibt aber auch hier eine Enterprise Version.
Haben wir hauefig auf unseren Linuxsystemen, im Bankenumfeld, eingesetzt.
Ist auch nicht so schwer zu konfigurieren.
https://de.wikipedia.org/wiki/Open_Source_Tripwire
https://www.tripwire.com/
