.forward ?

Beitrag von **Tifflor** » 22.12.2005, 10:53

Hallo zusammen

seit gestern nachmittag findet sich in meinem webserver root (ein gehostetes system ohne konsolenzugriff) eine datei namens
.forward (zum glueck ohne inhalt) die ICH da sicher nicht hochgeladen habe...wofuer kann die sein und woher kommt die ? koennte die was mit den hackversuchen (anderer thread etwas weiter unten hier im form) zu tun haben ?

danke

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **zxmbs33** » 22.12.2005, 11:00

normalerweise ist das eine Datei, in der man Email-Weiterleitungen eintragen kann. sollte also ungefährlich sein.

Beitrag von **Pompom** » 22.12.2005, 11:02

Sollten sich im File .forward Mailadressen befinden, handelt es sich um eine Datei, mit deren Hilfe Mails forwarded werden.

Beitrag von **Pompom** » 22.12.2005, 11:03

He, war ich wohl zu langsam...

Beitrag von **Tifflor** » 22.12.2005, 11:07

danke,

wofuer die datei ist habe ich auch inzwischen finden koennen, nur bin ich mir a) sicher dass diese datei gestern noch NICHT auf meinem server war b) brauche ich sie ja eigentlich auch nicht? (oder ist die doch standardmaessig drauf und wenn leer dann auch unwichtig)
c) heisst es dass unter gewissen sendmail versionen es auch mit hilfe des zugriffs auf diese datei moeglich ist sich die passwortdatei umzuleiten und d) beunruhigt mich das ganze halt in bezug auf die php hackversuche auf meinen server die letzten tage durchgehenderweise (siehe thread weiter unten)

Beitrag von **Pompom** » 22.12.2005, 11:26

Mal eine kurze Anleitung, wo man nachsehen kann, ob was unrechtmässiges läuft.

- laufen Prozesse, die man nicht kennt/nicht zuordnen kann ?
ps -fax

- gibt es Verzeichnisse in /tmp /var/tmp, die man nicht kennt bzw. die mit . oder ähnlichem anfangen ?
Beliebt sind hier z.B. das Verzeichnis ... oder auch .net
ll -a

- suche nach Rootkits, z.B. mit chkrootkit
Infos: https://www.linuxsecure.de/index.php?action=46

- schau in die Verzeichnisse
/etc
/bin
/sbin
/usr/bin
/usr/sbin
auf das Änderungsdatum der Dateien(ll -t), ob hier etwas auffällig ist.

Beitrag von **Tifflor** » 22.12.2005, 11:31

das ist alles nur sehr schwierig bei einem gehosteten system (nur web) auf das man ja keinerlei root zugriff hat...

Beitrag von **Pompom** » 22.12.2005, 11:36

Dann wird dein Provider schon dafür sorge tragen, dass die Hacker (hoffentlich) abprallen.

Du kannst dann nur die Verzeichnisse durchsehen, ob irgendwo Dateien auftauchen (auch HTML !) die du nicht kennst bzw. die ein Datum haben, an dem du nichts gemacht hast.

Beobachte, falls du die Daten einsehen kannst, die Trafficdaten, ob dort irgendwas ausserhalb der Norm passiert.

Beitrag von **Jojo** » 22.12.2005, 11:49

Bin zwar kein Experte, aber Dateien mit einem Punkt davor sind normalerweise die versteckten Dateien? Lässt du dir die vielleicht jetzt neuerdings anzeigen?