Likes Likes:  0
Resultaten 1 tot 5 van de 5
Geen
  1. #1
    Malware welke zorgt voor uitgaande connecties
    geregistreerd gebruiker
    390 Berichten
    Ingeschreven
    11/01/10

    Locatie
    Houten

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    19 Berichten zijn liked


    Naam: Kevin Bentlage
    Bedrijf: Cobytes B.V.
    Functie: CTO / Founder
    URL: www.cobytes.com
    Registrar SIDN: nee
    KvK nummer: 67974139
    Ondernemingsnummer: nvt
    View kevinbentlage's profile on LinkedIn

    Thread Starter

    Malware welke zorgt voor uitgaande connecties

    Beste,

    Onlangs kregen wij een abuse melding binnen van een persoon van wie de server werdt "aangevallen" door één van onze servers, het zou om een post request gaan op een bepaald domein, deze persoon was zo vriendelijk om een stukje van de apache log door te sturen;

    Code:
    1.2.3.4 - - [12/Nov/2014:00:20:03 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:20:03 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:20:03 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:20:03 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:20:13 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:20:13 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:20:24 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:20:24 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:20:54 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:20:54 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    1.2.3.4 - - [12/Nov/2014:00:21:33 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
    Waar 1.2.3.4 het IP van onze server is. Nu ben ik op onze server gaan zoeken, doorgaans kun je dergelijke malware snel vinden door de processen te bestuderen en een malware scan te laten draaien met bijvoorbeeld maldet. Echter kreeg ik dit keer niets gevonden, geen verdachte processen of hoge load. En ook geen hits door maldet.

    We hebben de persoon gevraagd om het IP-adres van zijn server door te sturen zodat we hiermee wat verder kunnen graven.

    Als ik met netstat een lijst van openstaande connecties opvraag naar dit IP adres, krijg ik het volgende resultaat;
    Code:
    [root@server111 home]# netstat -tuapn | grep 10.20.30.40
    tcp        0      0 1.2.3.4:48729         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48693         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48660         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48695         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48694         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48669         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48675         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48728         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48696         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48676         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48677         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48668         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48661         10.20.30.40:80             TIME_WAIT   -
    tcp        0      0 1.2.3.4:48674         10.20.30.40:80             TIME_WAIT   -
    Er zijn dus nog steeds actieve connecties naar dit IP adres, helaas laat netstat bij deze uitgaande connecties geen PID zien, dit is bij andere uitgaande connecties wel het geval.

    Als ik apache stop nemen de uitgaande processen af, en lijkt het dus dat deze processen tot stand worden gebracht door apache (of PHP), op de server-status pagina of de error_log / access_log van apache zie ik verder ook geen requests / processen die verband zouden hebben met de bovenstaande netstat gegevens.

    Hoe kan ik erachter komen welk proces / (PHP) script deze requests veroorzaakt? Ik ben al uren aan het zoeken maar begin door mijn opties heen te raken.

    Avast bedankt
    Kwalitatieve managed hosting met een persoonlijke service.

  2. #2
    Malware welke zorgt voor uitgaande connecties
    geregistreerd gebruiker
    5.751 Berichten
    Ingeschreven
    20/02/05

    Locatie
    Haaksbergen / Amsterdam

    Post Thanks / Like
    Mentioned
    45 Post(s)
    Tagged
    0 Thread(s)
    168 Berichten zijn liked


    Naam: Mark Scholten
    Bedrijf: SinnerG / Stream Service
    Functie: Systeembeheerder
    URL: www.sinnerg.nl
    Registrar SIDN: ja
    KvK nummer: 34255993

    Mijn advies is om te beginnen te kijken naar onderstaande dingen:
    - Welke processen gebruiken de betreffende poorten/maken verbinding naar de betreffende server (lsof is je vriend). Vervolgens kun je kijken met lsof welke bestanden dit proces gebruikt.
    - Zijn er bijzondere bestanden in /tmp/ te zien?

    Zonder meer informatie over je omgeving is enkel een zeer generiek antwoord mogelijk.
    Tools die handig zjn voor ISPs vind je natuurlijk bij Tools 4 ISP.

  3. #3
    Malware welke zorgt voor uitgaande connecties
    geregistreerd gebruiker
    390 Berichten
    Ingeschreven
    11/01/10

    Locatie
    Houten

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    19 Berichten zijn liked


    Naam: Kevin Bentlage
    Bedrijf: Cobytes B.V.
    Functie: CTO / Founder
    URL: www.cobytes.com
    Registrar SIDN: nee
    KvK nummer: 67974139
    Ondernemingsnummer: nvt
    View kevinbentlage's profile on LinkedIn

    Thread Starter
    Hi Mark, thanks voor je antwoord.

    - Als ik met lsof -nPi kijk, vind ik geen resultaten welke verband houden met het IP-adres van de doelserver en/of de uitgaande poorten die voorkomen in het netstat resultaat.
    - /tmp is gemount als no-exec en bevat geen "vreemde" of verborgen bestanden.

    Wat betreft de omgeving; het gaat om een DirectAdmin server waarbij gebruik wordt gemaakt van Apache met mod_ruid2 en mod_php (helaas nog PHP 5.3.29, wellicht zou dit het probleem al kunnen zijn?). Het OS is CentOS 6.

    Citaat Oorspronkelijk geplaatst door Mark17 Bekijk Berichten
    Mijn advies is om te beginnen te kijken naar onderstaande dingen:
    - Welke processen gebruiken de betreffende poorten/maken verbinding naar de betreffende server (lsof is je vriend). Vervolgens kun je kijken met lsof welke bestanden dit proces gebruikt.
    - Zijn er bijzondere bestanden in /tmp/ te zien?

    Zonder meer informatie over je omgeving is enkel een zeer generiek antwoord mogelijk.
    Kwalitatieve managed hosting met een persoonlijke service.

  4. #4
    Malware welke zorgt voor uitgaande connecties
    geregistreerd gebruiker
    1.892 Berichten
    Ingeschreven
    17/08/05

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    34 Post(s)
    Tagged
    0 Thread(s)
    35 Berichten zijn liked


    Naam: Wieger Bontekoe
    Bedrijf: Skynet ICT B.V.
    Functie: CEO
    URL: skynet-ict.nl
    Registrar SIDN: Nee
    View wbontekoe's profile on LinkedIn

    Je kunt toch netstat -anp doen en zo de processen achterhalen? Of je er wat aan hebt, dat is een tweede - zal vast apache zijn.
    Skynet ICT B.V. - The cause of the problem is: the printer thinks its a router.

  5. #5
    Malware welke zorgt voor uitgaande connecties
    geregistreerd gebruiker
    5.751 Berichten
    Ingeschreven
    20/02/05

    Locatie
    Haaksbergen / Amsterdam

    Post Thanks / Like
    Mentioned
    45 Post(s)
    Tagged
    0 Thread(s)
    168 Berichten zijn liked


    Naam: Mark Scholten
    Bedrijf: SinnerG / Stream Service
    Functie: Systeembeheerder
    URL: www.sinnerg.nl
    Registrar SIDN: ja
    KvK nummer: 34255993

    Net even gekeken, maar met "lsof -nP | grep 10.20.30.40" zou je de verbindingen vanaf die server naar dat IP moeten kunnen zien. Vervolgens kun met bv "lsof -nP | grep 12345" (hierbij is 12345 het proces id) zien wat dat proces heeft geopend. Overigens geef je aan dat je mod_ruid2 draait en met het eerste commando zou je normaal al de gebruiker moeten kunnen zien, hiermee kun je mogelijk de website al bepalen die problemen geeft.
    Tools die handig zjn voor ISPs vind je natuurlijk bij Tools 4 ISP.



Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics