Merkwürdige Datei auf dem Server. Bitte um Hilfe (Andere Betriebssysteme)

[thread]11547[/thread]

Merkwürdige Datei auf dem Server. Bitte um Hilfe

Leser: 7

Gast Gast

2008-03-31 18:34

Hallo zusammen. Ich bräuchte mal eure Hilfe. Ich habe durch zufall eine Datei auf dem Server gefunden die ich nicht draufgemacht habe. Ich kann mit der Datei nix anfangen. Habe nur rausbekommen das es sich um ne Perl Datei handelt. Aber was sie ausführt weiß ich nicht. Ich betreibe einen kleinen Online-shop. Mache mir jetzt so meine gedanken. Kann mit bitte jemand weiter helfen. Hier mal ein auszug vom code. Leider gehen nur 2000 zeichen.

Code: (dl )

#!/usr/bin/perl -w



	$| = 1;



	my $smtp = 'smtp.mail.ru';

	my $dns = '208.67.222.222';



	print "Content-type: text/plain; charset=windows-1251\n\n" if $ENV{HTTP_USER_AGENT};


	#print "Local server test\n";

	#print "\n\n";

	my $s = IO::Socket::INET->new(Proto => "tcp", LocalPort => 36000, Listen => SOMAXCONN, Reuse => 1);

	unless ($s) { print "Error"; } else { close $s; }

	#print "\n\n";



	#print "DNS client test ($dns)\n";

	#print "\n\n";

	my $r = (gethostbyname $dns)[4];

	unless ($r) { print "Error > Can't resolve DNS hostname"; exit; }

	$s = IO::Socket::INET->new(Proto => "tcp", Type => SOCK_STREAM);

	unless ($s) { print "Error > Can't create socket > $!"; exit; }

	unless ($s->connect(pack ("Sna4x8", 2, 53, $r))) { close $s; print "Error > Can't connect > $!"; exit; }

	close $s; #print "Ok";

	#print "\n\n";



	#print "SMTP Client test ($smtp)\n";

	#print "\n\n";

	$r = (gethostbyname $smtp)[4];

	unless ($r) { print "Error > Can't resolve SMTP hostname"; exit; }

	$s = IO::Socket::INET->new(Proto => "tcp", Type => SOCK_STREAM);

	unless ($s) { print "Error > Can't create socket > $!"; exit; }

	unless ($s->connect(pack ("Sna4x8", 2, 25, $r))) { close $s; print "Error > Can't connect > $!"; exit; }

	$r = <$s>; close $s;

	if (length $r) { print "OK"; } else { print "Error > Can't read response"; }

Danke für eure Hilfe
MFG
Carsten

2008-03-31 19:24

User since
2003-08-04
12208 Artikel
Admin1

das skript macht einen connect auf einen russischen smtp-server. sieht ungut aus.
vielleicht ein test, damit der spammer auf der gegenseite sieht, dass dein server
anfällig ist.
was hast du für einen online-shop? php, ...?
würde an deiner stelle mal untersuchen, was so für auffällige sachen sonst noch so auf
dem server passieren. im zweifel hilft eine neu-installation.

Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:

Wie frage ich & perlintro Wiki:

brian's Leitfaden für jedes Perl-Problem

Gast Gast

2008-03-31 19:34

Hallo pq,
danke für die schnelle Antwort. Ja, der shop läuft mit php bei Domainfactory. Da hat man mir gesagt ich sollte die scripte untersuchen. Als ob ich ahnung davon hätte. Ich habe die Datei erstmal gelöscht und alle passwörter neu gemacht. Ob das wohl was hilft? Könnte mal die datei so umbauen, das ich selber sehen kann was sie macht. Ich kenn mich damit nicht so aus.

Danke
Carsa

nepos

2008-03-31 20:08

User since
2005-08-17
1420 Artikel
BenutzerIn

Wichtiger wäre, deinen Server mal zu filzen. Z.B. mit Tools wie rkhunter oder chkrootkit.
Der Typ könnte ja noch mehr gemacht haben, als nur dieses Skript bei dir abgelegt zu haben.

Gast Gast

2008-03-31 20:19

hallo nepos. Mir wird als anderster im Bauch. Wie setze ich denn die 2 Programme ein. Ich kann damit sogar nichts anfangen. Werden die auf dem server ausgführt? Und was bewirken die.

Carsa

2008-03-31 20:59

User since
2003-08-04
12208 Artikel
Admin1

wenn der server erstmal infiziert ist, kann man natürlich nach dateien gucken, die
da nicht hingehören, "sauber" kriegt man es IMHO nur mit einer neuinstallation, weil
man ja nicht weiss, was alles angefasst wurde.

edit: und natürlich im gleichen zug deinen shop updaten. wenn es ein php-shop
ist, liegt die vermutung nahe, dass dort die lücke ist.

Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:

Wie frage ich & perlintro Wiki:

brian's Leitfaden für jedes Perl-Problem

moritz

2008-03-31 21:03

User since
2007-05-11
923 Artikel
HausmeisterIn

Wenn du dich mit Unix-Systemen nicht auskennst, dann kannst du vermutlich auch mit deren Ausgabe nicht viel anfangen.

Daher solltest du

0) Server vom Netz nehmen
1) Backup vom alten System machen
2) Das System untersuchen lassen, um die Schwachstelle zu identifiierzen
3) Server platt machen
4) Server von jemandem aufsetzen lassen, der sich damit auskennt
5) Sicherstellen (aka testen), dass die Schwachstelle aus 3) auf dem neuen System nicht vorhanden ist
6) Server wieder ans Netz nehmen

Wenn ein Server gehijackt wurde, sollte man das nicht auf die leichte Schulter nehmen. Schliesslich können Daten geklaut und illegale Inhalte (z.B. Kinderpornos) darüber verbreitet werden.

Perl 6 - Perls Zukunft

Gast Gast

2008-03-31 21:31

vielen dank euch allen für die Antworten. Leider bin ich jetzt kein stück weiter. Kenne keinen der mir das machen könnte. Also werde ich mal den shop neu aufsetzen. Gibt es den Shop alternativen die nicht so anfällig sind? Und zu meiner Frage von oben nochmal. Was genau das script macht und ob ich da daten von mir rein machen kann um zu sehen was genau das script sendet. Also anstatt das smtp.mail.ru meine smtp adresse. Nur das mit der DNS versteh ich nicht. Und wie müßte ich das script dann aufrufen?. Aber wie gesagt. Herzlichen dank für die Infos.

Carsa

Gast Gast

2008-04-01 06:02

Ein fremde Skript, ganz besonders so ein eingeschleustes, würde ich niemals laufen lassen ohne Ahnung vom Inhalt zu haben!
Das ist Riskant.

Gast Gast

2008-04-01 08:56

Hallo,

darf man noch wissen welchen "Server" Du bei DF hast? ( Hosting, Managed, Root, Virtual ) ...

Bei den Backups musst Du natürlich aufpassen, nicht dass die Datei im Backup auch schon vorhanden ist ;-)

View all threads created 2008-03-31 18:34.