Einer meiner Server wird wohl als Bot eingesetzt, indem er POSTs (?) an fremde Webseiten absetzt. So meldet das zumindest der "Dienst" bitninja.io an meinen Provider. Im Logfile sind über den Tag(!) verteilt ca 4-10 Abfragen zu erkennen. Leider aber so verschlüsselt, dass man nicht weiß von welchem VHost der Mist kommt. Auf besagtem Server sind einige WordPress Instanzen installiert, weshalb ich schon vermute, dass da etwas mißbraucht wird. Allerdings sind diese nach Anleitung in gewissem Maße schon gehärtet (Berechtigung für Schreiben und sogar Ausführen und noch ein paar andere Kleinigkeiten, die es erschweren sollten).
Ich habe jetzt versucht alle Dateien auf Veränderung zu untersuchen, ohne Ergebnis. Nach Befehlen oder Inhalten muss man erfahrungsgemäß nicht suchen, da die entsprechenden Stellen in den Dateien base64-kodiert oder anderweitig verschleiert sind. Ich habe es trotzdem gemacht. Erfolglos.
tmp-Verzeichnisse sind auch leer.
Meine letzte Idee wäre, die abgehenden Anfragen abzuhören und zu analysieren. Lässt sich das mit einfachen Mitteln bewerkstelligen? Ich will nicht jeden Murks auf die Maschine installieren. Aber wahrscheinlich muss ich mit Wireshark ran?
Hat jemand schon mal was ähnliches durchgemacht? Wie gehe ich vor, um die Zecke zu finden?
Der Server an sich popelt sich in der Nase. Keine hohe Auslastung:
Code: Alles auswählen
load average: 0,03, 0,12, 0,42