Phishing / „paypal.de.html“

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von fatmaddin2000, 26. Nov. 2012.

  1. fatmaddin2000

    fatmaddin2000 Member

    Ich habe seit schon einiger Zeit zwei Server in einem Multiserversetup laufen, einer ist auf Debian Squeeze (auf dem läuft auch das ISPConfig mit Apache) und auf dem anderen ist ein Ubuntu 10.04. (mit Apache). Wurde alles nach den "Perfect Server"-Settings von damals und dem Multi-Server-Setup konfiguriert und lief bisher ohne Probleme. Der Ubuntu-Server ist up-to-date und auf dem Squeeze ist noch nicht die aktuelle MySQL-Version drauf.


    Bei einem Kunden auf dem Ubuntu wurde jetzt in einem Domainordner (ein Wordpress läuft da) eine „paypal.de.html“ gefunden. Sie wurde erstmal gelöscht. Aber wie kann das passieren? Ich lasse jetzt erstmal alle FTP-Zugänge und Wordpresszugänge zurücksetzen.
    Es ist bisher nur bei dieser Domain aufgetreten.
    Leider weiß ich nicht seit wann diese Datei da drin war. In meinem Fail2Ban Log von gestern habe ich diese Einträge gefunden:
    Code:
    2012-11-25 02:41:42,741 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
    2012-11-25 02:44:44,126 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
    2012-11-25 02:44:53,126 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
    Hat das irgendwie was damit zu tun? Kann aber wie gesagt auch schon länger dort liegen.


    Ich habe gerade auch ein bisschen recherchiert. Kann es sein, dass auf dem Ubuntu-Server unabsichtlich mod_userdir aktiviert wurde? Wie könnte ich das herausfinden? Könnte das eine Schwachstelle sein?

    Wenn ihr mir helfen könntet, wäre ich sehr dankbar. Ich bin etwas ratlos.
     
  2. F4RR3LL

    F4RR3LL Member

    Fangen wir am besten mal vorne an ... wie ist PHP bei diesem User eingebunden?
    Außerdem gibts nen Plugin für Wordpress welches ebenso ausschaut (vom Namen her). Wurde das evtl einfach reingepackt... denn dann liegt hier kein Fehler/Hack o.ä. vor sondern alles ist ok. Wie war der Inhalt dieser html? Hast Du den Code noch?

    Gruß Sven
     
  3. fatmaddin2000

    fatmaddin2000 Member

    Hallo Sven,
    ich denke, es ist defintiv Phishingmäßiges. Hier der Code:

    Code:
    <div>
    	<a href="http://..../wp-content/plugins/syntaxhighlighter/third-party-brushes/ovh/"><img src="http://............./FwEa.png" alt="  "></a>
    </div>
    Wie meinst du das mit, "wie ist PHP" eingebunen?

    Ich schicke dir mal eine PM mit dem Link zu einer phpinfo

    Beste Grüße,
    Martin
     
    Zuletzt bearbeitet: 26. Nov. 2012
  4. Till

    Till Administrator

    Nein, das ist die regelmäßige Logrotaion die jedes Linux System auf seine Logs anwendet damit sie nicht zu große werden.

    Die häufigste Ursache für socl ein problem ist ein Bug im jeweiligen CMS System (also hier wordpress) oder aber in einem der installierten Wordpress Plugins. Seit wann die Datei da ist und ob sie mit php bzw, FTP hochgeladen wurde kannst Du mit einem ls -la prüfen.

    Btw. Könntest Du bitte mal den obigen Phising code so ändern dass Du z.B. die Domain durch Punkte ersetzt, ich möchte nicht das Google und Co howtoforge als phising seite blocken :)
     
  5. fatmaddin2000

    fatmaddin2000 Member

    Danke! Hab die Datei leider schon vom Server gelöscht. Deshalb nützt das wohl nichts mehr.
     
  6. Croydon

    Croydon Super-Moderator

Diese Seite empfehlen