ausgehende Requests mitloggen?

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

ausgehende Requests mitloggen?

Beitrag von rok » 10.04.2015 10:30:55

Hallo!
Einer meiner Server wird wohl als Bot eingesetzt, indem er POSTs (?) an fremde Webseiten absetzt. So meldet das zumindest der "Dienst" bitninja.io an meinen Provider. Im Logfile sind über den Tag(!) verteilt ca 4-10 Abfragen zu erkennen. Leider aber so verschlüsselt, dass man nicht weiß von welchem VHost der Mist kommt. Auf besagtem Server sind einige WordPress Instanzen installiert, weshalb ich schon vermute, dass da etwas mißbraucht wird. Allerdings sind diese nach Anleitung in gewissem Maße schon gehärtet (Berechtigung für Schreiben und sogar Ausführen und noch ein paar andere Kleinigkeiten, die es erschweren sollten).
Ich habe jetzt versucht alle Dateien auf Veränderung zu untersuchen, ohne Ergebnis. Nach Befehlen oder Inhalten muss man erfahrungsgemäß nicht suchen, da die entsprechenden Stellen in den Dateien base64-kodiert oder anderweitig verschleiert sind. Ich habe es trotzdem gemacht. Erfolglos.
tmp-Verzeichnisse sind auch leer.

Meine letzte Idee wäre, die abgehenden Anfragen abzuhören und zu analysieren. Lässt sich das mit einfachen Mitteln bewerkstelligen? Ich will nicht jeden Murks auf die Maschine installieren. Aber wahrscheinlich muss ich mit Wireshark ran?
Hat jemand schon mal was ähnliches durchgemacht? Wie gehe ich vor, um die Zecke zu finden?

Der Server an sich popelt sich in der Nase. Keine hohe Auslastung:

Code: Alles auswählen

load average: 0,03, 0,12, 0,42

uname
Beiträge: 12540
Registriert: 03.06.2008 09:33:02

Re: ausgehende Requests mitloggen?

Beitrag von uname » 10.04.2015 11:05:04

Wenn es um reine HTTP-Requests auf Standard-Port geht kannst du aus Debiandsniff den Befehl

Code: Alles auswählen

urlsnarf -i eth0
probieren. Am besten erst mal auf dem Desktop aufrufen und nebenbei per Browser ein paar Webseiten aufrufen. Aber als Quelle wird natürlich dein eigener Rechner bzw. Server auftauchen. Wenn du von einem Befall ausgehst hilft wohl nur eine Neuinstallation. Zudem könntest du Software nutzen, die z.B. Manipulationen von Webseiten erkennt. Leider habe ich dafür keine wirkliche Empfehlung. Aber beim regelmäßigen Backup könntest du z.B. Änderungen in PHP-Scripten erkennen.

rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

Re: ausgehende Requests mitloggen?

Beitrag von rok » 10.04.2015 11:16:32

Hallo!
Danke für deine Antwort!
Damit sehe ich doch aber auch nur einkommende Anfragen, die ohnehin schon geloggt werden. Oder verstehe ich da was falsch?
Da ich davon ausgehe, dass von extern eine Abfrage kommt, welche ein Script ausnutzt, um diese weiter zu leiten, geht es mir um Anfragen die nach extern gehen.
Ich würde eben gern herausfinden, welcher VHost das ist, bzw. von welcher Datei der Müll produziert wird.

Alle Dateien werden täglich gesichert. Lustigerweise sind in den letzten 90 Tagen keine Dateien geändert worden. Deshalb vermute ich eine Ausnutzung einer Sichereitslücke in irgend einem WordPress Plugin/Script.

Antworten