Ich checke per maldetect cronjob auf einem Backupserver die Webfolder, dabei wurde ein Fehler ausgegeben, nach einem chattr -i auf den Folder lief maldet durch, keine Malware gefunden ...
Wie kann ich nun rausfinden z.b. mit lsattr welche Dateien oder Folder einen immutable Status haben?
z.b. alle Dateien und Ordner checken in /var/www/webfolder
lsattr bzw. aufspüren von immutable in Webfolder
Re: lsattr bzw. aufspüren von immutable in Webfolder
Code: Alles auswählen
lsattr -aR |grep "^....i" Vielleicht versteh ich Dich falsch, mir kommt der Ansatz irgendwie falsch vor.
Denn normalerweise ist das ne ziemlich gute Idee, das System so zu konfigurieren, dass nen Webserver nur an ganz bestimmte Orte malen darf.
Re: lsattr bzw. aufspüren von immutable in Webfolder
eggy hat geschrieben:23.12.2020 12:33:59Aber warum?Code: Alles auswählen
lsattr -aR |grep "^....i"
Vielleicht versteh ich Dich falsch, mir kommt der Ansatz irgendwie falsch vor.
Denn normalerweise ist das ne ziemlich gute Idee, das System so zu konfigurieren, dass nen Webserver nur an ganz bestimmte Orte malen darf.
TOP, funktioniert
ich nehme mal an dass irgendwo in einem /tmp oder smarty cache oder upload folder in einem web selbst etwas ist, die phptmp Systemfolder sind sauber
vermutlich wurde durch eine löschrige WP etwas hochgeladen ...
na ja, ich sollte jedenfalls nachschauen was da für Files oder Folder immutable sind
Re: lsattr bzw. aufspüren von immutable in Webfolder
grep kann übrigens auch "-v" damit bekommst Du das, wo das Pattern nicht zutrifft gezeigt.
Hab das etwas gemeint, eine Strategie ist, alles unter /var/www (bzw was Du für den Webserver nimmst) auf nicht veränderbar zu setzen und nur den Cache dann explizit zu erlauben. Bei nem Update die Veränderungen kurzzeitig erlauben und gleich hinterher wieder verbieten. Damit ist sichergestellt, dass die Dateien auf dem Server zumindest im normalen Betrieb nicht verändert werden können, falls doch mal was bei der Serverconfig schiefläuft. Zwar keine 100% Garantie, aber nen zusätzliches Sicherheitsnetz.
Hab das etwas gemeint, eine Strategie ist, alles unter /var/www (bzw was Du für den Webserver nimmst) auf nicht veränderbar zu setzen und nur den Cache dann explizit zu erlauben. Bei nem Update die Veränderungen kurzzeitig erlauben und gleich hinterher wieder verbieten. Damit ist sichergestellt, dass die Dateien auf dem Server zumindest im normalen Betrieb nicht verändert werden können, falls doch mal was bei der Serverconfig schiefläuft. Zwar keine 100% Garantie, aber nen zusätzliches Sicherheitsnetz.
Re: lsattr bzw. aufspüren von immutable in Webfolder
cool! Die Malware checks lasse ich wg. der Load auf dem Backupserver laufen, da wird alles per rsync (mit permission atr.) rüber gebeamt. Hab vorhin nur auf dem Backupserver die Webfolder getestet mit lsattr -aR | grep "^....i" - da scheint alles OK zu sein, könnte ein Problem mit Maldet/Clamscan sein welches selbst einen /tmp für den Scan anlegt ... der lsattr check läuft relativ schnell durch ca. 15 Minuten bei etwa 300GB, könnte man auch mal als cronjob anlegen ...eggy hat geschrieben:23.12.2020 13:31:27grep kann übrigens auch "-v" damit bekommst Du das, wo das Pattern nicht zutrifft gezeigt.
Hab das etwas gemeint, eine Strategie ist, alles unter /var/www (bzw was Du für den Webserver nimmst) auf nicht veränderbar zu setzen und nur den Cache dann explizit zu erlauben. Bei nem Update die Veränderungen kurzzeitig erlauben und gleich hinterher wieder verbieten. Damit ist sichergestellt, dass die Dateien auf dem Server zumindest im normalen Betrieb nicht verändert werden können, falls doch mal was bei der Serverconfig schiefläuft. Zwar keine 100% Garantie, aber nen zusätzliches Sicherheitsnetz.
ich teste jetzt auch nochmal mit der -v Option