Beste,
Onlangs kregen wij een abuse melding binnen van een persoon van wie de server werdt "aangevallen" door één van onze servers, het zou om een post request gaan op een bepaald domein, deze persoon was zo vriendelijk om een stukje van de apache log door te sturen;
Waar 1.2.3.4 het IP van onze server is. Nu ben ik op onze server gaan zoeken, doorgaans kun je dergelijke malware snel vinden door de processen te bestuderen en een malware scan te laten draaien met bijvoorbeeld maldet. Echter kreeg ik dit keer niets gevonden, geen verdachte processen of hoge load. En ook geen hits door maldet.Code:1.2.3.4 - - [12/Nov/2014:00:20:03 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:20:03 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:20:03 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:20:03 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:20:13 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:20:13 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:20:24 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:20:24 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:20:54 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:20:54 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-" 1.2.3.4 - - [12/Nov/2014:00:21:33 +0100] "POST /twitter/ HTTP/1.1" 404 968 "-" "-"
We hebben de persoon gevraagd om het IP-adres van zijn server door te sturen zodat we hiermee wat verder kunnen graven.
Als ik met netstat een lijst van openstaande connecties opvraag naar dit IP adres, krijg ik het volgende resultaat;
Er zijn dus nog steeds actieve connecties naar dit IP adres, helaas laat netstat bij deze uitgaande connecties geen PID zien, dit is bij andere uitgaande connecties wel het geval.Code:[root@server111 home]# netstat -tuapn | grep 10.20.30.40 tcp 0 0 1.2.3.4:48729 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48693 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48660 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48695 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48694 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48669 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48675 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48728 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48696 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48676 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48677 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48668 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48661 10.20.30.40:80 TIME_WAIT - tcp 0 0 1.2.3.4:48674 10.20.30.40:80 TIME_WAIT -
Als ik apache stop nemen de uitgaande processen af, en lijkt het dus dat deze processen tot stand worden gebracht door apache (of PHP), op de server-status pagina of de error_log / access_log van apache zie ik verder ook geen requests / processen die verband zouden hebben met de bovenstaande netstat gegevens.
Hoe kan ik erachter komen welk proces / (PHP) script deze requests veroorzaakt? Ik ben al uren aan het zoeken maar begin door mijn opties heen te raken.
Avast bedankt