Существует ли способ видеть, инициировался ли FTP PHP?
У меня было нападение на мой веб-сервер, где .html файлы были скопированы FTP в общедоступный каталог HTML.
Пароль FTP был очень силен.
Я пытаюсь определить, инициировал ли PHP передачу FTP. Существует ли Apache, или Отклоните файл журнала, который может дать мне эту информацию?
Дополнительная информация у меня есть записи в журнале FTP, которые, кажется, показывают другого дюйм/с, использовалась, чтобы войти и скопировать файлы. Я не уверен, но делаю? перед IP указывают кроме него, не пользователь учетной записи (который в этом случае является королевством)? Похоже, что несколько других дюйм/с зарегистрировались - каждый копирующий различный файл - все меньше 30 секунд. Незаконными файлами является "mickey66.html", "mickey66.jpg" и "canopy37.html".
2010-06-17T21:24:02.073070+01:00 чистый-ftpd веб-сервер: (?@190.20.76.74) [ИНФОРМАЦИЯ] королевство теперь зарегистрирован
2010-06-17T21:24:06.632472+01:00 чистый-ftpd веб-сервер: (?@77.250.141.158) [ИНФОРМАЦИЯ] королевство теперь зарегистрирован
2010-06-17T21:24:07.216924+01:00 чистый-ftpd веб-сервер: (kingdom@77.250.141.158) [УВЕДОМЛЕНИЕ] загруженный /home/kingdom//public_html/mickey66.html (80 байтов, 0.26KB/sec)
2010-06-17T21:24:07.364313+01:00 чистый-ftpd веб-сервер: (kingdom@77.250.141.158) [ИНФОРМАЦИЯ] Выход из системы.
2010-06-17T21:24:08.711231+01:00 чистый-ftpd веб-сервер: (?@78.88.175.77) [ИНФОРМАЦИЯ] королевство теперь зарегистрирован
2010-06-17T21:24:10.720315+01:00 чистый-ftpd веб-сервер: (kingdom@78.88.175.77) [УВЕДОМЛЕНИЕ] загруженный /home/kingdom//public_html/mickey66.jpg (40 835 байтов, 35.90KB/sec)
2010-06-17T21:24:10.848782+01:00 чистый-ftpd веб-сервер: (kingdom@78.88.175.77) [ИНФОРМАЦИЯ] Выход из системы.
2010-06-17T21:24:18.528074+01:00 чистый-ftpd веб-сервер: (kingdom@190.20.76.74) [ИНФОРМАЦИЯ] Выход из системы.
2010-06-17T21:24:22.023673+01:00 чистый-ftpd веб-сервер: (?@85.130.254.227) [ИНФОРМАЦИЯ] королевство теперь зарегистрирован
2010-06-17T21:24:23.470817+01:00 чистый-ftpd веб-сервер: (kingdom@85.130.254.227) [УВЕДОМЛЕНИЕ] загруженный /home/kingdom//public_html/mickey66.html (80 байтов, 0.38KB/sec)
2010-06-17T21:24:23.655023+01:00 чистый-ftpd веб-сервер: (kingdom@85.130.254.227) [ИНФОРМАЦИЯ] Выход из системы.
2010-06-17T21:24:26.249887+01:00 чистый-ftpd веб-сервер: (?@95.209.254.137) [ИНФОРМАЦИЯ] королевство теперь зарегистрирован
2010-06-17T21:24:28.461310+01:00 чистый-ftpd веб-сервер: (kingdom@95.209.254.137) [УВЕДОМЛЕНИЕ] загруженный /home/kingdom//public_html/canopy37.html (80 байтов, 0.26KB/sec)
2010-06-17T21:24:28.760513+01:00 чистый-ftpd веб-сервер: (kingdom@95.209.254.137) [ИНФОРМАЦИЯ] Выход из системы.
3 ответа
У меня была атака на мой веб-сервер, где файлы .html были скопированы FTP в общедоступный каталог html.
Откуда вы знаете, что они были скопированы через FTP?
Пароль FTP был очень надежным.
Не очень актуально. FTP отправляет пароли в незашифрованном виде - поэтому даже если предположить, что файлы были доставлены через FTP, если пароль был прослушан, не имеет значения, сколько у него энтропии.
Я пытаюсь определить, инициировал ли PHP передачу по FTP
Вы не можете сказать, что это был за клиент. Даже если, как и HTTP, протокол предназначен для сбора информации о пользовательском агенте, нет способа определить точность этой информации (она отправляется клиентом, поэтому клиент может манипулировать ею).
Ваш журнал FTP-сервера должен содержать сведения о том, какой IP-адрес / учетная запись пользователя загружали, какие файлы и когда.Но не удивляйтесь, если там нет ничего актуального.
С.
На вашей рабочей станции может быть вредоносная программа, запускающая FTP-клиент. Вредоносная программа должна украсть пароли из вашего FTP-клиента и отправить их третьей стороне.
Это случилось с нами. На все наши целевые страницы был внедрен вредоносный код/код iframe-url, который будет загружать эту вредоносную программу на все машины, открывающие страницу в браузере.
Насколько мне известно, протокол FTP не имеет заголовка User-Agent или чего-либо подобного. Даже если бы это было так, зачем разработчикам вредоносных программ добавлять код, чтобы активно идентифицировать свое программное обеспечение как вредоносное ПО? И почему вы хотите предотвращать законное использование инструментов создания сценариев, таких как PHP?
Подобные атаки обычно происходят из двух источников:
- Уязвимые сценарии, размещенные на общедоступном веб-сервере
- Хостинг-клиенты, чьи компьютеры скомпрометированы
Если - как вы, кажется, предполагаете - у вас действительно есть журналы FTP, подтверждающие, что эти файлы были загружены через FTP с использованием ваших учетных данных, у вас, вероятно, есть IP-адрес, с которого были получены файлы. Убедитесь, что это ваш адрес , и в любом случае возьмите хороший антивирусный сканер.