1
Bestimmte Befehle in PHP protokollieren
Hallo,
ich habe hier von einem Kunden ein stark modifiziertes Drupal auf einem aktuellen Linux-Server ein.
Aktuell gibt es einen Unbekannten, der alle paar Tage ein paar Dateien modifiziert.
Er fügt in PHP-Dateien Script-Anweisungen ein. Dabei setzt er auch das Dateidatum und die Attribute zurück.
Änderungen sind also nur über die Prüfsummen erkennbar.
FTP und SSH sind nicht betroffen.
OS, Apache, FTP und PHP sind aktuell.
Also wird es vermutlich irgendwo eine PHP-Script als Hintertür sein.
Aufgrund der Größe der Seite kann ich aber nicht einfach das Theme oder alle Module abschalten.
In den Logs ist nichts auffälliges zu finden.
Kennt Jemand eine Möglichkeit bestimmte Befehle in PHP oder alle Zugriff auf das Dateisystem zu protokollieren?
Danke und viele Grüße
Stefan
ich habe hier von einem Kunden ein stark modifiziertes Drupal auf einem aktuellen Linux-Server ein.
Aktuell gibt es einen Unbekannten, der alle paar Tage ein paar Dateien modifiziert.
Er fügt in PHP-Dateien Script-Anweisungen ein. Dabei setzt er auch das Dateidatum und die Attribute zurück.
Änderungen sind also nur über die Prüfsummen erkennbar.
FTP und SSH sind nicht betroffen.
OS, Apache, FTP und PHP sind aktuell.
Also wird es vermutlich irgendwo eine PHP-Script als Hintertür sein.
Aufgrund der Größe der Seite kann ich aber nicht einfach das Theme oder alle Module abschalten.
In den Logs ist nichts auffälliges zu finden.
Kennt Jemand eine Möglichkeit bestimmte Befehle in PHP oder alle Zugriff auf das Dateisystem zu protokollieren?
Danke und viele Grüße
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 275310
Url: https://administrator.de/contentid/275310
Printed on: April 18, 2024 at 09:04 o'clock
1 Comment
- iwatch protokolliert Änderungen an Dateien.
- $_GET & $_POST enthalten alle wichtigen Informationen zu Abfragen
==> Du könntest alle gets und post logen und dann das protokoll im dem iwatch protokoll abgleichen und so den "schuldigen request erkennen"
- PHP ist Open.Source, du könntest dir also auch direkt im C Code eine Protokollierung programmieren und PHP selbst kompilieren (ist aber nicht ganz easy)
- $_GET & $_POST enthalten alle wichtigen Informationen zu Abfragen
==> Du könntest alle gets und post logen und dann das protokoll im dem iwatch protokoll abgleichen und so den "schuldigen request erkennen"
- PHP ist Open.Source, du könntest dir also auch direkt im C Code eine Protokollierung programmieren und PHP selbst kompilieren (ist aber nicht ganz easy)
