Есть ли способ узнать, был ли FTP инициирован PHP? - PullRequest
Новая
       6

Есть ли способ узнать, был ли FTP инициирован PHP?

5 голосов
/ 21 июня 2010

У меня была атака на мой веб-сервер, когда файлы .html были скопированы по FTP в общедоступный каталог html.

Пароль FTP был очень надежным.

Я пытаюсь определить, инициировал ли PHP передачу по FTP. Есть ли файл журнала Apache или Nix, который может дать мне эту информацию?

Дополнительная информация У меня есть записи журнала FTP, которые, кажется, показывают, что разные IP-адреса использовались для входа и копирования файлов. Я не уверен, но делает ли? перед IP указать, кроме как это не пользователь учетной записи (что в данном случае является королевством)? Похоже, в журнале зарегистрировано несколько разных IP-адресов - каждый копирует другой файл - и все это занимает менее 30 секунд. Вредоносные файлы: «mickey66.html», «mickey66.jpg» и «canopy37.html».

2010-06-17T21: 24: 02.073070 + 01: 00 webserver pure-ftpd: (?@190.20.76.74) [INFO] королевство теперь зарегистрировано

2010-06-17T21: 24: 06.632472 + 01: 00 webserver pure-ftpd: (?@77.250.141.158) [INFO] королевство теперь зарегистрировано

2010-06-17T21: 24: 07.216924 + 01:00 веб-сервер pure-ftpd: (kingdom@77.250.141.158) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.html загружено (80 байт, 0,26 КБ / сек)

2010-06-17T21: 24: 07.364313 + 01: 00 веб-сервер pure-ftpd: (kingdom@77.250.141.158) [INFO] Выход из системы.

2010-06-17T21: 24: 08.711231 + 01: 00 webserver pure-ftpd: (?@78.88.175.77) [INFO] королевство теперь зарегистрировано

2010-06-17T21: 24: 10.720315 + 01:00 веб-сервер pure-ftpd: (kingdom@78.88.175.77) [ЗАМЕЧАНИЕ] /home/kingdom//public_html/mickey66.jpg загружено (40835 байт, 35,90 КБ / сек)

2010-06-17T21: 24: 10.848782 + 01:00 веб-сервер pure-ftpd: (kingdom@78.88.175.77) [INFO] Выход из системы.

2010-06-17T21: 24: 18.528074 + 01:00 веб-сервер pure-ftpd: (kingdom@190.20.76.74) [INFO] Выход из системы.

2010-06-17T21: 24: 22.023673 + 01:00 веб-сервер pure-ftpd: (? @ 85.130.254.227) [INFO] королевство теперь зарегистрировано

2010-06-17T21: 24: 23.470817 + 01:00 веб-сервер pure-ftpd: (kingdom@85.130.254.227) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.html загружено (80 байт, 0,38 КБ / сек)

2010-06-17T21: 24: 23.655023 + 01:00 веб-сервер pure-ftpd: (kingdom@85.130.254.227) [INFO] Выход из системы.

2010-06-17T21: 24: 26.249887 + 01: 00 веб-сервер pure-ftpd: (?@95.209.254.137) [INFO] королевство теперь зарегистрировано

2010-06-17T21: 24: 28.461310 + 01:00 веб-сервер pure-ftpd: (kingdom@95.209.254.137) [ЗАМЕЧАНИЕ] /home/kingdom//public_html/canopy37.html загружено (80 байт, 0,26 КБ / сек)

2010-06-17T21: 24: 28.760513 + 01:00 веб-сервер pure-ftpd: (kingdom@95.209.254.137) [INFO] Выход из системы.

Ответы [ 3 ]

2 голосов
/ 21 июня 2010

Возможно, на вашей рабочей станции установлено вредоносное ПО, на котором работает FTP-клиент. Вредоносное ПО должно украсть пароли у вашего FTP-клиента и отправить его стороннему лицу.

Это случилось с нами. Все наши целевые страницы были заражены вредоносным кодом / кодом iframe-url, который будет загружать это вредоносное ПО на все машины, открывающие страницу в браузере.

1 голос
/ 21 июня 2010

Насколько я знаю, протокол FTP не имеет заголовка User-Agent или чего-то подобного. Даже если бы это было так, зачем авторам вредоносных программ добавлять код для активной идентификации своего программного обеспечения как вредоносного? И почему вы хотите предотвратить законное использование таких инструментов, как PHP?

Такие атаки обычно происходят из двух источников:

  • Уязвимые скрипты, размещенные на общедоступном веб-сервере
  • Хостинг клиентов, которые взломали свои ПК

Если - как вы, вероятно, предлагаете - у вас действительно есть журналы FTP, чтобы доказать, что эти файлы были загружены через FTP с использованием ваших учетных данных, у вас, вероятно, есть IP-адрес, с которого поступили файлы. Проверьте, является ли ваш адрес, и, в любом случае, найдите хороший антивирусный сканер.

1 голос
/ 21 июня 2010

У меня была атака на мой веб-сервер, когда файлы .html были скопированы по FTP в общедоступный каталог html.

Как вы узнали, что они были скопированы по FTP?

Пароль FTP был очень надежным.

Не очень актуально.FTP отправляет пароли в незашифрованном виде, поэтому даже если предположить, что файлы были доставлены через FTP, если пароль был обнаружен, то это не имеет значения, сколько у него энтропии.

Я пытаюсь определить, инициировал ли PHP передачу FTP

Вы не можете сказать, кем был клиент.Даже если, как и HTTP, протокол, предоставленный для сбора информации о пользовательском агенте, нет способа определить точность этой информации (она отправляется клиентом, поэтому может манипулировать клиентом).

Ваш журнал FTP-сервера должен содержать информацию о том, какой IP-адрес / учетная запись пользователя загружены, какие файлы и когда.Но не удивляйтесь, если там нет ничего релевантного.

C.

...