Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Erkennung und -Abwehr

Php-Scripte auf Schadcode prüfen

Mitglied: nogger

nogger (Level 1) - Jetzt verbinden

15.02.2010, aktualisiert 14.04.2010, 8631 Aufrufe, 6 Kommentare

Hallo! Ich habe für einen Kunden u.a. ein CMS installiert, das auf php basiert, bei einem Billig-Provider installiert. Nun muss ich die Dateien auf Schadcode Scannen.

Ich habe für einen Kunden u.a. ein CMS, das auf php basiert, bei einem Billig-Provider installiert. Nun möchte ich die Dateien auf Schadcode scannen. Es gab vor einigne Tagen tatsächlich einen erfolgreichen Angriff auf den Server. Zwei zusätzliche Verzeichnisse wurden wurden im htdocs meines Kunden installiert, von denen aus Spam-Mails verschickt wurden. Diese Verzeichnisse wurden zwar gelöscht, aber der Kunde möchte trotzdem, daß ich alle Dateien auf dem Server auf weiteren Schadcode scanne. Wie gehe ich da vor? Welche Software verwende ich da. Ich habe nur FTP bzw. SSH-Zugriff...

Vielen Dank für Eure Hilfe!
Mitglied: mrtux
15.02.2010 um 11:31 Uhr
Hi !

Das CMS samt Datenbank runterhauen und ein (hoffentlich vorhandenes) Backup einspielen und danach das CMS auf die aktuelle Version updaten. Das Wissen über einen Check, ob es sich um die originalen CMS-Files handelt, setze ich jetzt einfach mal voraus. Wenn man keine Root-Rechte auf dem Server hat, dann unbedingt auch den Provider mit ins Boot holen.

Wir haben z.B. zu unserer Absicherung für jeden Kunden die komplette Grundinstallation (natürlich ohne die nachträglichen Änderungen des Kunden) noch einmal auf unseren lokalen Servern, falls das Produktivsystem einmal komplett Tot ist und beim Kunden kein Backup vorhanden sein sollte, was es ja schon mal hätte gegeben haben können. :-P

mrtux
Bitte warten ..
Mitglied: SlainteMhath
15.02.2010 um 11:54 Uhr
Moin,

ein, zugegeben etwas aufwändiger, Weg wäre der folgende:

Original des CMS Systems besorgen, Produktionssystem per FTP abziehen und dann die MD5 Checksumme der jeweiligen Files vergleichen.

Aber was viel wichtiger ist: Quelle des Einbruchs lokalisieren und eliminieren. Notfalls Provider wechseln.

lg,
Slainte
Bitte warten ..
Mitglied: nxclass
15.02.2010 um 12:01 Uhr
Mit einem SVN wäre das wohl kein Problem, macht auch die Entwicklungsarbeit viel leichter. Probleme macht es nur, wenn ein CMS den Code in der Datenbank ablegt, dann muss das natürlich auch regelm. gespeichert werden.

Ggf. einfach mal nach allen Dateien suchen die den entsprechenden Änderung Zeitstempel haben. Aber kann mit nicht vorstellen das etwas geändert wurde, so etwas dauert einfach zu lange. Die werden nur schnell ihre die Dateien hochgeladen haben.
Bitte warten ..
Mitglied: SlainteMhath
15.02.2010 um 12:07 Uhr
Moin,
so etwas dauert einfach zu lange
Ein IFRAME mit einem Link zu einer Drive-by-download ist schnell wo 'reinkopiert... zombies installieren bringt Geld, und das macht erfinderisch, glaub mir

Nach einem Einbruch ist der komplette Server als nicht mehr vertrauenswürdeig inzustufen und gehört daher eingentlich platt gemacht und neu installiert - von sauberen Quellen versteht sich.

lg,
Slainte
Bitte warten ..
Mitglied: LordGurke
15.02.2010 um 12:54 Uhr
Meistens ist die größte Sicherheitslücke aber auch der Kunde selbst.
Wenn der FTP-Account geknackt wurde, nützt das sicherste CMS nichts - und wenn unsichere Kennwörter für den Backend-Login verwendet wurden, auch nicht.
Bitte warten ..
Mitglied: godlie
15.02.2010 um 14:56 Uhr
was mir da so sponan einfiele wäre:
die sourcen von der website ziehen, original cms lziehen beides ablegen in getrennten ordner
und mit ein wenig shellscripting und diff das ganze durchlaufen lassen und eine "vergleichsliste"
erstellen.

soweit iich weis würd da sogar diff alleine reichen mal schaun ob ich das script noch irgendwo finde..

grüße
Bitte warten ..
Ähnliche Inhalte
PHP
PHP - mySQL - Injections, Schadcode verhindern?
Frage von DeeJayBeePHP3 Kommentare

Hallo zusammen, ich beschäftige mich gerade ein wenig mit php und mysql. Überall sind zwar nette Tutorials, aber irgendwie ...

Windows Server
Script zum prüfen von Prozessen
gelöst Frage von Florian86Windows Server5 Kommentare

Hallo, folgendes Problem: ich möchte über ein Script was als geplanter Task läuft prüfen ob ein Programm auf einen ...

PHP
PHP - Prüfen ob XML Knoten leer ist
gelöst Frage von chrisenPHP1 Kommentar

Hallo zusammen, wie kann ich überprüfen ob ein XML Knoten leer ist? XML: Was ich bisher versucht habe: Ich ...

Batch & Shell
Bitte batch-Script auf Fehler prüfen
Frage von maniacmacpainBatch & Shell1 Kommentar

Hallo, ich habe ein kleines Script geschrieben, welches zuerst prüfen soll ob der vpn-Server erreichbar ist. Mit diesem soll ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen7 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...