C'è un modo per vedere se FTP è stato avviato da PHP?

Question

Ho avuto un attacco al mio server web in cui i file .html sono stati copiati da FTP in una directory pubblica html.

La password FTP era molto forte.

Sto provando a determinare se PHP ha avviato il trasferimento FTP. Esiste un file di registro Apache o Nix che può darmi queste informazioni?

Ulteriori informazioni Ho voci di registro FTP che sembrano mostrare IP diversi sono stati utilizzati per accedere e copiare i file. Non sono sicuro ma lo fa? prima che l'IP indichi tranne che non è l'utente dell'account (che in questo caso è regno)? Sembra che siano stati registrati diversi IP diversi, ognuno dei quali copia un file diverso, tutto nello spazio di meno di 30 secondi. I file incriminati sono "mickey66.html", "mickey66.jpg" e "canopy37.html".

2010-06-17T21: 24: 02.073070 + 01: 00 webserver pure-ftpd: (?@190.20.76.74) [INFO] regno è ora registrato nel

2010-06-17T21 : 24: 06.632472 + 01: 00 webserver pure-ftpd: (?@77.250.141.158) [INFO] kingdom è ora connesso

2010-06-17T21: 24: 07.216924 + 01: 00 webserver pure-ftpd: (kingdom@77.250.141.158) [AVVISO] /home/kingdom//public_html/mickey66.html caricato (80 byte, 0,26 KB/sec)

2010-06-17T21: 24: 07.364313 +01: 00 webserver pure-ftpd: (kingdom@77.250.141.158) [INFO] Esci.

2010-06-17T21: 24: 08.711231 + 01: 00 webserver pure-ftpd: (?@78.88.175.77) [INFO] regno è ora registrato nel

2010-06-17T21: 24: 10,720,315 mila +01: 00 webserver pure-ftpd: (kingdom@78.88.175.77) [NOTICE] /home/kingdom//public_html/mickey66.jpg caricato (40835 byte, 35.90KB/sec)

2010-06-17T21: 24: 10.848782 + 01: 00 webserver pure-ftpd: (kingdom@78.88.175.77) [INFO] Esci.

2010-06-17T21: 24: 18,528074 + 01: 00 webserver pure-ftpd: (kingdom@190.20.76.74) [INFO] Esci.

2010-06-17T21: 24: 22,023,673 mila + 01: 00 webserver pure-ftpd: (?@85.130.254.227) [INFO] regno è ora registrato nel

2010-06-17T21: 24: 23,470,817 mila +01: 00 webserver pure-ftpd: (kingdom@85.130.254.227) [NOTICE] /home/kingdom//public_html/mickey66.html caricato (80 byte, 0.38KB/sec)

2010-06-17T21: 24: 23.655023 + 01: 00 webserver pure-ftpd: (kingdom@85.130.254.227) [INFO] Esci.

2010-06-17T21: 24: 26,249,887 mila + 01: 00 webserver pure-ftpd: (?@95.209.254.137) [INFO] regno è ora registrato nel

2010-06-17T21: 24: 28,461,31 mila +01: 00 webserver pure-ftpd: (kingdom@95.209.254.137) [NOTICE] /home/kingdom//public_html/canopy37.html caricato (80 byte, 0.26KB/sec)

2010-06-17T21: 24: 28.760513 + 01: 00 webserver pure-ftpd: (kingdom@95.209.254.137) [INFO] Esci.

Answer 1

Ho avuto un attacco al mio server web in cui i file .html sono stati copiati da FTP in una directory pubblica html.

Come sai che sono stati copiati via FTP?

La password FTP era molto forte.

Non molto pertinente. FTP invia le password non crittografate, quindi anche supponendo che i file siano stati consegnati via FTP, se la password è stata annusata è irrilevante la quantità di entropia che ha.

sto cercando di determin se il PHP ha avviato il trasferimento FTP

Non si può dire ciò che il cliente è stato. Anche se, come HTTP, il protocollo fornito per la raccolta di informazioni sullo user-agent, non c'è modo di determinare l'accuratezza di queste informazioni (è inviato dal cliente, quindi può essere manipolato dal client).

Il registro del server FTP deve contenere i dettagli registrati di quale indirizzo IP/account utente ha caricato quali file e quando. Ma non essere sorpreso se non c'è nulla di rilevante in là.

C.

Answer 2

È possibile che sulla workstation sia presente un malware che esegue il client FTP.Il malware deve rubare le password dal tuo client FTP e inviarlo a terze parti.

Questo è successo a noi. Tutte le nostre pagine di destinazione sono state inserite con codice maligno/codice iframe-url che scaricherà questo malware su tutte le macchine che aprono la pagina nel browser.

Answer 3

Per quanto ne so, il protocollo FTP non ha un'intestazione User-Agent o qualcosa di simile. Anche se fosse così, perché i produttori di malware aggiungono codice per identificare attivamente il loro software come malware? E, perché vorresti impedire l'uso legittimo di strumenti di scripting come PHP?

Questo tipo di attacchi normalmente provengono da due fonti:

script

• vulnerabili ospitati in un server web pubblico
• clienti hosting che hanno ottenuto i loro PC compromessi

Se -come ti sembra di suggerire: in realtà si dispone di registri FTP per dimostrare che tali file sono stati caricati tramite FTP utilizzando le proprie credenziali, probabilmente l'indirizzo IP da cui provengono i file. Verifica se è l'indirizzo e, in ogni caso, prendi un buon antivirus.