Stealth Prozesse in Wordfence ordner?

  • Hallo,

    ich habe heute eine abusemeldung bekommen dass angeblich irgendwelche "stealth-prozesse" auf meinem test-wordpress laufen, dass ich kürzlich via Wordfence abgesichert habe


    und zum einem gibts eine lange liste mit IP zeug und zum anderem eine liste von dateien die irgendwelches zeug machen (das ich ganz ehrlich nicht komplett verstehe), aber da wird der ordner von Wordfence erwähnt (wflogs), ich bin mir ganz ehrlich nicht ganz sicher was da los ist, ich hab das ding mit wordfence kürzlich aufgeräumt und 2FA angemacht und so weiter, sodass eigentlich das ja abgesichert sein sollte.


    ganz ehrlich ich weiß auch nicht was da los sein soll? vor allem weil es meinen main blog scheinbar gar nicht betrifft, der ja auch wordfence drauf hat.

    was mich eben falls wundert ist dass die quelladressen die IPv6 sind nicht von mir sind (meine hat 89ee im 4. block)


    dazu wäre es mal echt nett wenn netcup nicht gleich alles zu machen würde bei nem abuse, sondern nur betroffene domains oder so.


    was sollte man da am besten machen? das ding einfach niederbrennen und neu machen?


    (auch lol scheinbar werden hier domains zensiert dass man nciht mal logs sinnvoll posten kann

  • Da hier noch 2 Fragen offen sind:


    aber warum muss netcup immer gleich alles zumachen? mMn etwas extrem.


    Vorsichtshalber, damit du keine Gefahr mehr für die anderen bist. Du würdest doch auch wollen, dass andere Angreifer sofort außer Gefecht gesetzt werden, oder? Wäre wahrscheinlich auch technisch wesentlich aufwändiger herauszufinden aus welchem Ordner heraus die Attacken kommen... dann lieber gleich das ganze einfrieren.


    wie kommt die IPv6 zustande die nicht von mir ist?


    Sieht so aus als würdest du ein Webhosting benutzen? Da ist dann halt die Quelladresse die vom Netcup Server, da von dort aus die Angriffe gestartet werden.

  • Ich hab erst letztens wieder an einem Tag 30 E-Mails mit Erpressungsversuchen erhalten. Alle mit dem gleichen Inhalt, und alle von verschiedenen Servern rund um den Globus. Solche E-Mails kommen zu 99% von Webhostings und vServern, deren Betreiber überhaupt nicht wissen, was da eigentlich läuft. Das nur mal so am Rande.


    Da soetwas täglich passiert, kann ein Massenhoster da nicht für jeden Kunden auf Ursachensuche gehen. Zugleich muss er aber sein Netzwerk schützen, denn wenn auf Abuse-Meldungen nicht innerhalb nützlicher Frist reagiert wird, sperren fremde Admins auch schnell mal ein ganzes AS. Daher müssen solche Webspaces so schnell wie möglich abgeschaltet werden.

  • Wäre wahrscheinlich auch technisch wesentlich aufwändiger herauszufinden aus welchem Ordner heraus die Attacken kommen

    naja das steht ja direkt im log drin, der per mail.

    Da ist dann halt die Quelladresse die vom Netcup Server

    meine ich ja mit "von mir". bei IPv6 hat ja jeder kunde seine eigene und da steht ja die kundennummer dran.

  • naja das steht ja direkt im log drin, der per mail.

    meine ich ja mit "von mir". bei IPv6 hat ja jeder kunde seine eigene und da steht ja die kundennummer dran.

    Bist du dir da sicher? Das kann ich mir kaum vorstellen, da es zwar möglich aber völlig sinnlos wäre. Doch selbst wenn, bedeutet das nicht, dass das auch die Adresse ist, die der Server für ausgehende Verbindungen benutzt.

  • Bist du dir da sicher?

    ich habe zwar etwas verdreht aber ja.

    es steht nicht die Kundennummer sondern die hostingnummer dran.


    mal abgeshehen von meinem Persönlichem Account administriere ich bei 2 weiteren und beide weisen dieses schema auf.

    Doch selbst wenn, bedeutet das nicht, dass das auch die Adresse ist, die der Server für ausgehende Verbindungen benutzt

    okay gutes argument.


    was mich aber auch wundert ist warum einfach mal exec und co an und nicht abschaltbar ist? ich meine einfach mal binaries starten ist was was der durchnittsuser nicht braucht und erst recht kein wordpress, normal gehört exec und alles aus der kategorie per default aus und zugeschaltet wenn mans braucht.


    was auch nett wäre wäre die open basedir methode so zu machen dass man extra ordner in seinem webspace spezifizieren kann die außerhalb des docroot sind und zugegriffen werden dürfen (wie bspw einen data ordner für eine nextcloud oder so) ohne dass man gleich zugriff auf den ganzen webspace geben muss (bessere isolierung der domains).


    exec sollte normal eigentlich die allerletzte lösung für irgendwas sein.

  • exec und co waren mal abschaltbar, das wurde vor nicht allzu langer Zeit geändert. Das mit open_basedir ist wohl ttasächlich problematisch, aber eigentlich bei allen meinen Webhostings auch anderswo genauso oder eher noch schlechter geregelt. Also entweder gar nicht aktiv oder grundsätzlich auf den kompletten Webspace begrenzt. Wobei aktiviertes open_basedir nebenbei auch eine ordentliche Performance-Bremse ist.

  • exec und co waren mal abschaltbar, das wurde vor nicht allzu langer Zeit geändert. Das mit open_basedir ist wohl ttasächlich problematisch, aber eigentlich bei allen meinen Webhostings auch anderswo genauso oder eher noch schlechter geregelt. Also entweder gar nicht aktiv oder grundsätzlich auf den kompletten Webspace begrenzt. Wobei aktiviertes open_basedir nebenbei auch eine ordentliche Performance-Bremse ist.

    naja aktiviert ist open_basedir ja sowieso.


    ich müsste mal schauen wie es genau bei anderen war aber bspw bekomme ich bei i-mscp für jede angelegte domain/subdomain ne eigene ordnerstruktur im userhome und wahrscheinlich ist open_basedir dann wohl auf diese beschränkt. würde zumindest sinn machen, da man so daten außerhalb des docroot haben kann aber eben ohne dass diese gleich den ganzen webspace übernehmen können.


    aber auch lol dass es nicht mehr abschaltbar ist, wie gesagt, mMn gehört sowas per default an und nur mit warnungen aus, dann würden zumindest einige dieser infektionen deutlich weniger schaden anrichten, da diese eben mit den limits von PHP laufen und eben nicht in ner ganzen shell

  • Ja, aber es ist doch Schlangenöl. Mit einer beliebigen Script-Sprache kannst du meist genauso viel Schaden anrichten, wie mit Shell-Befehlen. Sobald man bösartigen Code auf dem Webspace hat, hat man ein Problem, egal ob PHP jetzt etwas eingeschränkter ist oder nicht. Aus dem selben Grund wurde auch der "safe mode" aus PHP entfernt.