Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Php-Scripte auf Schadcode prüfen

Mitglied: nogger

nogger (Level 1) - Jetzt verbinden

15.02.2010, aktualisiert 14.04.2010, 8699 Aufrufe, 6 Kommentare

Hallo! Ich habe für einen Kunden u.a. ein CMS installiert, das auf php basiert, bei einem Billig-Provider installiert. Nun muss ich die Dateien auf Schadcode Scannen.

Ich habe für einen Kunden u.a. ein CMS, das auf php basiert, bei einem Billig-Provider installiert. Nun möchte ich die Dateien auf Schadcode scannen. Es gab vor einigne Tagen tatsächlich einen erfolgreichen Angriff auf den Server. Zwei zusätzliche Verzeichnisse wurden wurden im htdocs meines Kunden installiert, von denen aus Spam-Mails verschickt wurden. Diese Verzeichnisse wurden zwar gelöscht, aber der Kunde möchte trotzdem, daß ich alle Dateien auf dem Server auf weiteren Schadcode scanne. Wie gehe ich da vor? Welche Software verwende ich da. Ich habe nur FTP bzw. SSH-Zugriff...

Vielen Dank für Eure Hilfe!
Mitglied: mrtux
15.02.2010 um 11:31 Uhr
Hi !

Das CMS samt Datenbank runterhauen und ein (hoffentlich vorhandenes) Backup einspielen und danach das CMS auf die aktuelle Version updaten. Das Wissen über einen Check, ob es sich um die originalen CMS-Files handelt, setze ich jetzt einfach mal voraus. Wenn man keine Root-Rechte auf dem Server hat, dann unbedingt auch den Provider mit ins Boot holen.

Wir haben z.B. zu unserer Absicherung für jeden Kunden die komplette Grundinstallation (natürlich ohne die nachträglichen Änderungen des Kunden) noch einmal auf unseren lokalen Servern, falls das Produktivsystem einmal komplett Tot ist und beim Kunden kein Backup vorhanden sein sollte, was es ja schon mal hätte gegeben haben können. :-P

mrtux
Bitte warten ..
Mitglied: SlainteMhath
15.02.2010 um 11:54 Uhr
Moin,

ein, zugegeben etwas aufwändiger, Weg wäre der folgende:

Original des CMS Systems besorgen, Produktionssystem per FTP abziehen und dann die MD5 Checksumme der jeweiligen Files vergleichen.

Aber was viel wichtiger ist: Quelle des Einbruchs lokalisieren und eliminieren. Notfalls Provider wechseln.

lg,
Slainte
Bitte warten ..
Mitglied: nxclass
15.02.2010 um 12:01 Uhr
Mit einem SVN wäre das wohl kein Problem, macht auch die Entwicklungsarbeit viel leichter. Probleme macht es nur, wenn ein CMS den Code in der Datenbank ablegt, dann muss das natürlich auch regelm. gespeichert werden.

Ggf. einfach mal nach allen Dateien suchen die den entsprechenden Änderung Zeitstempel haben. Aber kann mit nicht vorstellen das etwas geändert wurde, so etwas dauert einfach zu lange. Die werden nur schnell ihre die Dateien hochgeladen haben.
Bitte warten ..
Mitglied: SlainteMhath
15.02.2010 um 12:07 Uhr
Moin,
so etwas dauert einfach zu lange
Ein IFRAME mit einem Link zu einer Drive-by-download ist schnell wo 'reinkopiert... zombies installieren bringt Geld, und das macht erfinderisch, glaub mir

Nach einem Einbruch ist der komplette Server als nicht mehr vertrauenswürdeig inzustufen und gehört daher eingentlich platt gemacht und neu installiert - von sauberen Quellen versteht sich.

lg,
Slainte
Bitte warten ..
Mitglied: LordGurke
15.02.2010 um 12:54 Uhr
Meistens ist die größte Sicherheitslücke aber auch der Kunde selbst.
Wenn der FTP-Account geknackt wurde, nützt das sicherste CMS nichts - und wenn unsichere Kennwörter für den Backend-Login verwendet wurden, auch nicht.
Bitte warten ..
Mitglied: godlie
15.02.2010 um 14:56 Uhr
was mir da so sponan einfiele wäre:
die sourcen von der website ziehen, original cms lziehen beides ablegen in getrennten ordner
und mit ein wenig shellscripting und diff das ganze durchlaufen lassen und eine "vergleichsliste"
erstellen.

soweit iich weis würd da sogar diff alleine reichen mal schaun ob ich das script noch irgendwo finde..

grüße
Bitte warten ..
Ähnliche Inhalte
PHP

PHP - mySQL - Injections, Schadcode verhindern?

Frage von DeeJayBeePHP3 Kommentare

Hallo zusammen, ich beschäftige mich gerade ein wenig mit php und mysql. Überall sind zwar nette Tutorials, aber irgendwie ...

Windows Server

Script zum prüfen von Prozessen

gelöst Frage von Florian86Windows Server5 Kommentare

Hallo, folgendes Problem: ich möchte über ein Script was als geplanter Task läuft prüfen ob ein Programm auf einen ...

PHP

PHP - Prüfen ob XML Knoten leer ist

gelöst Frage von chrisenPHP1 Kommentar

Hallo zusammen, wie kann ich überprüfen ob ein XML Knoten leer ist? XML: Was ich bisher versucht habe: Ich ...

Sicherheit

Sicherheitsupdate: Thunderbird als Einfallstor für Schadcode

Information von Penny.CilinSicherheit

Hallo zusammen, wer Mozillas Thunderbird benutzt, sollte dringend aktualisieren: Sicherheitsupdate: Thunderbird als Einfallstor für Schadcode Siehe dazu auch Gruss ...

Neue Wissensbeiträge
Router & Routing

Olle Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 4 StundenRouter & Routing1 Kommentar

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 18 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 23 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 1 TagMicrosoft Office5 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless12 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...