Onderwerp: Opsporen van Ddos shells .php

Hebben jullie ervaring met het opsporen van zo geheten ddos shells. Vaak worden er ook via deze shell scripts phising websites geupload.

Ik heb nu via clamdscan -r /home/ een scan gestart. Zou Clamd dit ook daadwerkelijk oppikken? Zijn er geen andere tools die juist hiervoor gemaakt zijn?

Oorspronkelijk geplaatst door chriske

Hebben jullie ervaring met het opsporen van zo geheten ddos shells. Vaak worden er ook via deze shell scripts phising websites geupload.

Ik heb nu via clamdscan -r /home/ een scan gestart. Zou Clamd dit ook daadwerkelijk oppikken? Zijn er geen andere tools die juist hiervoor gemaakt zijn?

De term ddos shell zegt mij even niks, van wat je beschrijft lijkt het eerder een php-shell ding te zijn.
Op zich zou je kunnen greppen op die specifieke functies, virusscanner lijkt me niet iets die het gaat vinden.

Ik zou zeggen probeer het even met een root kit hunter (rkhunter) bvb. Maar of het iets zal uithalen lijkt me sterk, aangezien die php-shells gelijk welke naam kunnen hebben. Je beste optie is even je php.ini beveiligen en dingen als exec() system() etc uitzetten zodat deze php shells niet meer (of half werken). Naast dat kan je ook je /tmp als noexec mouten zodat hier ook niks op ge-execute kan worden.

Het is zon php script zodat je bijvoorbeeld kan bladeren via je browser op de server. Zo kunnen ze zoeken welke directories er allemaal 777 hebben en dit misbruiken.

PHP Bestanden doorzoeken op 'eval' daar vind je het meestal wel op

En eval staat voor? En iemand nog tips om dit in de apache logs te vinden? Hoe ze precies dit erop hebben gekregen?

Oorspronkelijk geplaatst door chriske

En eval staat voor? En iemand nog tips om dit in de apache logs te vinden? Hoe ze precies dit erop hebben gekregen?

zucht
http://php.net/manual/en/function.eval.php

Daarvoor staat dat dus.

EDIT: yourwebhoster was me voor

Onderwerp is al eens vaker behandeld volgens mij. Controleer ook geregeld of je vage ftp connecties hebt in je logs. Vaak wordt het ook via gehackte ftp accounts geupload.

Oorspronkelijk geplaatst door Yourwebhoster

zucht
http://php.net/manual/en/function.eval.php

Daarvoor staat dat dus.

excuus, ik heb geen ervaring met php script taal en wist dus ook zo niet wat dit betekende.


Ik heb alle wachtwooden al via mijn pc aangepast van deze klant. Het gezeik is begonnen nadat er een backup vanaf een andere host bij mij was gerestored.

In de ftp logs komen geen rare ips voor die iets uploaden. Alle wachtwoorden zijn aangepast via mijn pc. Er moet dus ergens in zijn joomla sites een script staan waarmee ze er weer bij kunnen.

Nu zijn de complete websites verwijderd en worden overnieuw gebouwd. Ik heb de backups waar een infectie in moet zitten nu gerestored onder een andere dir en ben deze aan het scannen om te zien waar het nu precies zit.

Oorspronkelijk geplaatst door chriske

Het is zon php script zodat je bijvoorbeeld kan bladeren via je browser op de server. Zo kunnen ze zoeken welke directories er allemaal 777 hebben en dit misbruiken.

En wie heeft er nu in godsnaam een chmod van 777 op algemene directory's staan, rechten zijn voor iets uitgevonden.

Ja, dat snap ik. Bij mij staat er ook niks op 777. Ik geef enkel een voorbeeld wat ze met dit script kunnen doen.

Als ze daar al op kunnen zoeken is er iets structureel verkeerd op je server, run je toevallig je php in cli (php-cli) mode met default apache|www-data user ofzo?

Ik draai directamin met Suphp.

Kijk ik heb het script nog niet gevonden op mijn server, ik heb al wel meerdere malen deze scripts aangetroffen op andere servers. Ik weet zo ook niet of zon dergelijk script bij mij gewoon zou werken. Ik moet het eerst nog traceren hoe ze telkens phising sites op 1 bepaalde users krijgen.

In mijn php ini heb ik ook een aantal dingen disabled:

disable_functions = exec,passthru,proc_open,proc_close,shell_exec,syst em,shell

chriske; je hebt het over klanten, dus het gaat schijnbaar om een productie server. Zou je het beheer dan niet over laten aan iemand met gedegen ervaring op dit gebied?