3. April 2013 14:59

Re: Und? Wie erkennen?

Stephan Goll schrieb am 3. April 2013 12:26

> ratti schrieb am 3. April 2013 12:21

> > Das wäre ja jetzt mal die Kernfrage:
> > Wie erkennt man als Admin eine Infektion?

> Nichts leichter als das: man vergleicht einfach die Daten auf dem
> Webserver mit den Daten, die nicht auf dem Webserver liegen. Man wird
> doch wohl ein Backup von dem Kram haben ... und dann: diff -r ...
> Step"grins"han

mod_rewrite in /etc/apache,
php_prepend in /etc/php5/

wären jetzt mal zwei Möglichkeiten, um ausserhalb von ~www/ Dinge
einzuschleusen, nach denen Du dich dumm und dämlich suchst.

Und dann ist da noch die Aussage, dass die Malware den sshd
modifiziert. Also hat sie Rootzugriff. Da reicht dann ein ganz
normales und bei Malware gängiges Kernelmodul, um Dateizugriffe
abzufangen und dem diff-Binary einen anderen Inhalt auszuliefern als
dem apache-Binary.

Ergo: Man kann stundenlang wühlen und die böse Datei in den Händen
halten, ohne es zu merken.

Eine einfache Dateidifferenz würde bei mir sowieso auffallen, weil
die Website per subversion gepflegt wird.

Gruß,
Jörg

Anzeige