Interpretation der Scannergebnisse

Hier könnt ihr Fragen zu den Scanergebnissen stellen.

Interpretation der Scannergebnisse

Beitragvon bussibaer » So 13. Jan 2008, 07:31

Nachdem ihr euren ersten Kontrollscan gemacht habt, werdet ihr eine Menge Files finden, wo ihr die Meldung findet Verdächtige Signatur gefunden. Der FileScanner sucht nach Begriffen, die das ausführen von schadhaftem Code ermöglichen, wie z.B. die php-Anweisungen shell_exec() oder exec().

Ihr habt nun verschiedene Möglichkeiten:
  1. Euer FTP-Client bietet euch die Möglichkeit, die Dateien der einzelnen Programmpakete auf dem WEB-Space mit den Dateien, die ihr auf eurem PC ja gespeichert habt zu vergleichen. Werden euch da Unterschiede aufgezeigt, so prüft diese Dateien genau, ob dort irgendwelcher Code injiziert wurde, der da nicht rein gehört.
    • Habt ihr die Möglichkeit nicht, ladet euch die Dateien vom WEB-Space runter (in ein separates Verzeichnis), und vergleicht die Dateien z.B. mit Winmerge.

    Gibt es keine Unterschiede zwischen den WEB-Spacedateien und euren lokalen Dateien, ist die gefundene Signatur in diesen Dateien mit großer Wahrscheinlichkeit rechtens, und ihr könnt diese Datei beim nächsten scan ausschließen (Siehe Dokumentation FileScanner - Ausschlüsse verwalten).

    Der FileScanner informiert euch auch über neu angelegte oder geänderte Dateien auf eurem WEB-Space. Dieses kann verschiedene Ursachen haben:
    1. Ihr habt ein neues Programmpaket installiert.
    2. Ein Programmpaket, wie z.B. das phpBB2-Forum erstellt im Ordner /cache neue Dateien.
    3. Ihr habt in euer(n) Programmpakete(n) Modifikationen eingebaut.
    4. Ihr erlaubt Uploads, z.B. über ein Attachement/Upload-System.

    Bei geänderten Dateien müsst ihr nun die Änderung akzeptieren, da sonst beim nächsten Kontrollscan diese Dateien wieder angemahnt werden. Eine Andere Möglichkeit wäre, die entsprechenden Verzeichnisse vom Scannen auszuschließen. Dieses Solltet ihr aber nur tun, wenn ihr absolut sicher seid, das die Dateien nur über eure Anwendung entstehen können.

    Ein Tip:
    Wenn ihr sicher seid, das ein Verzeichnis nur von eurem Programmsystem benutzt wird (z.B. das Verezeichnis /cache in einem phpBB2-Forum), aber volle Schreibrechte (CHMOD 0777) haben muß, so könnt ihr dort folgende .htaccess einbauen:

    Code: Alles auswählen
    order deny,allow
    Deny from all
    Allow from localhost


    Diese Datei schließt dann alle externen Zugriffe auf das Verzeichnis aus. Voraussetzung ist auch, das euer Provider so eine .htaccess überhaupt zulässt. Das müsst ihr bitte dort erfragen.


    Sollten bei euch PHP-Files wie c99.php oder r57.php auftauchen, so ist höchste Vorsicht geboten. Denn hierbei handelt es sich mit großer Wahrscheinlichkeit um sogenante php-Schells. Löscht diese bitte umgehend von eurem WEB-Space !


    Ich bemühe mich, dieses kleinen Leitfaden permanent zu ergänzen. :mrgreen:
    Schöne Grüße aus Kiel

    Jörg :mrgreen:

    Die meiste Frauen die ich kenne heissen mit Nachname *.jpg,*.gif und *.tif.....warum nur ??
    Benutzeravatar
    bussibaer
    Administrator
     
    Beiträge: 186
    Registriert: Mo 24. Sep 2007, 21:38
    Plz/Ort: Kiel
    Name: Jörg

    Zurück zu Fragen zu euren Scan-Ergebnissen

    Wer ist online?

    Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

    cron