vServer gehackt: Joomla auslöser?

    Also mein Problem besteht weiterhin: Ich finde einfach kaum Anhaltspunkte was passiert sein könnte :-/
    Ich habe jetzt schon die FTP Logs durchgeschaut - das was mir am wahrscheinlichsten erschien - aber kein Ergebnis. Die IPs die da connecten sind mir (die meisten zumindest) bekannt und dürfen connecten. Die anderen die abgewiesen werden sind mir meist unbekannt. Das ist aber auch die geringere Zahl.


    Gibt es eine Möglichkeit zurück zu verfolgen wo die Datei/Skript liegt die/der ausgeführt wurde?


    Gruß
    droelfvonelf

    Mal eine andere Frage: Waren alle Betriebssystemupdates installiert und sonstige Web-Applikationen aktuell?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    hallo,
    hast du mal die Inhalte deiner Jooma installation mit den "normalen" verglichen?
    Einfach mal um zu sehen ob was da ist, da sonst nicht da sein sollte.


    ansonsten würde ich mal nach rootkits scannen :)

    KB19: Ich habe regelmäßig apt-get upgrade ausgeführt... dadurch ja. andere Applikationen waren auch auf dem neusten Stand (ts, minecraft etc.)


    Homwer: Also die Installation war nicht ausgeführt worden. Daran hatte ich halt fest gemacht, dass nichts passiert ist.... Aber ich vergleiche nochmal. Soweit ich das überblicken konnte, war da aber nichts ungewöhnliches.

    Auf einem vServer gibt es keine root-Kits, da brauchst du nicht nach zu scannen.


    apt-get update: Welche Distribution? Nicht jede Distribution hat immer jedes Paket sicherheitstechnis auf dem neuesten Stand.

    "Security is like an onion - the more you dig in the more you want to cry"

    Achso okay, dachte das wäre möglich....


    Ich benutze Debian Squeeze. Werden hierbei die Sicherheitstechnischen Updates über die Funktion eingepflegt?


    Trotzdem stelle ich mir die Frage ob man den Skript der die DDoS Attacke ausgeführt hat zurückverfolgen kann...? Eventuell anhand der Log Information die ich von Netcup bekommen hab? Oder würde etwas dazu im Apache Log vermerkt werden?

    Huch, an den Theard hatte ich ja gar nicht mehr gedacht. Sorry!
    Also ich bin jetzt zu folgendem Ergebnis gekommen:
    Ich vermute, dass mein PC infiziert worden war. Denn wenige Tage nach der Übernahme des Servers hatte ich eine E-Mail von ebay bekommen, dass mein Account dort gehackt worden wäre. Ich habe dies als Anlass genommen das Thema bei Seite zu legen und den Server zu formatieren, nur wichtige Websites gesichert.


    Gruß
    Paddy

    Zitat

    und hatte auch mit dem Support Rücksprache gehalten, der mir zustimmte und meinte, dass der Server so sehr gut geschützt ist.

    Eine solche Zusicherung hat der Support von uns niemals gegeben. Wie kommen Sie zu einer derartigen Aussage?

    Fehlerteufel! Hatte mich dabei nicht auf euren Support bezogen, sondern den einer anderen Firma (Name nenne ich jetzt besser nicht).... Sorry wenn das so rübergekommen ist, hatte einfach vergessen das zu erwähnen.