Shellcode Hilfe

Dieses Thema im Forum "Server Administration" wurde erstellt von iceget, 11. Juni 2013.

  1. iceget

    iceget Member

    Hallo liebe Community,

    ich habe folgendes Problem:
    Ich habe zirka 300 Domains auf einem ISPConfig 2 (aktuellste Version) Server.

    Nun finde ich bei einigen Domains dieses File:
    Chennai Hackers Connect: WSO2.5 Web Shellcode

    Einige Websites wurden via verschlüsseltem JavaScript Code infiziert (aber einige hundert Dateien pro Website).

    Aber komisch; nicht alle Websites wurden attackiert, ...

    Was kann ich dagegen tun? Oder wie kann ich das ausfindig machen, welche Website das reingeschleust hat?

    Durch was kann das passieren?

    20% von allen Websites haben SafeMode = off

    Irgendwann heute um 01:00 Uhr früh, wurde diese Datei angelegt.

    Habe auch schon den rkhunter installiert, jedoch wenn ich ein
    rkhunter --update
    mache, kommt die Meldung
    Unable to find configuration file: /usr/local/etc/rkhunter.conf

    Was kann ich dagegen tun?

    Bitte um Hilfe!

    Vielen Dank

    lg iceget
     
    Zuletzt bearbeitet: 11. Juni 2013
  2. Till

    Till Administrator

    Ich würde den Server mal mit maldetect scannen:

    How to Install and Configure maldet (Linux Malware Detect

    rkhunter lässt sich ggf auch manuell installieren, schu mal auf der rkhunter webseite nach, da waren meines Wissens nach Anleitungen dafür.

    Rauszufinden von welcher Webseite das ausging ist leider fast unmöglich, da bei ispconfig 2 alles eiten mit mod_php laufen, die Dateien also dem apache User gehören.
     
  3. iceget

    iceget Member

    Hi Till,

    danke für deine Antwort.

    Was meinst Du; kann ich den Server irgendwie sicherer machen?

    Mal so ganz entspannt 300 Domains auf ISPConfig 3 zu migrieren, ist doch einige Wochen arbeit,...

    Danke & lg
     
  4. Till

    Till Administrator

    Ich würde Dir raten das apache Modul mod_security zu installieren, das fängt die Meisten Angriffe ab.
     
  5. iceget

    iceget Member

    Hi Till,

    danke.

    Gibt's dazu eine Anleitung?

    Danke

    lg
     
  6. Till

    Till Administrator

Diese Seite empfehlen