Hallo,
ich habe heute eine abusemeldung bekommen dass angeblich irgendwelche "stealth-prozesse" auf meinem test-wordpress laufen, dass ich kürzlich via Wordfence abgesichert habe
und zum einem gibts eine lange liste mit IP zeug und zum anderem eine liste von dateien die irgendwelches zeug machen (das ich ganz ehrlich nicht komplett verstehe), aber da wird der ordner von Wordfence erwähnt (wflogs), ich bin mir ganz ehrlich nicht ganz sicher was da los ist, ich hab das ding mit wordfence kürzlich aufgeräumt und 2FA angemacht und so weiter, sodass eigentlich das ja abgesichert sein sollte.
ganz ehrlich ich weiß auch nicht was da los sein soll? vor allem weil es meinen main blog scheinbar gar nicht betrifft, der ja auch wordfence drauf hat.
was mich eben falls wundert ist dass die quelladressen die IPv6 sind nicht von mir sind (meine hat 89ee im 4. block)
dazu wäre es mal echt nett wenn netcup nicht gleich alles zu machen würde bei nem abuse, sondern nur betroffene domains oder so.
was sollte man da am besten machen? das ding einfach niederbrennen und neu machen?
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
mwebp_64 18992 hostingXXXXXX 5u IPv4 1323492481 0t0 TCP 91.204.46.61:46434->31.22.2.93:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 15u IPv4 1323476517 0t0 TCP 91.204.46.61:54208->213.186.33.2:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 16u IPv4 1323487634 0t0 TCP 91.204.46.61:35446->178.62.45.113:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX 17u IPv4 1323481863 0t0 TCP 91.204.46.61:36570->87.98.154.146:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 18u IPv4 1323520350 0t0 TCP 91.204.46.61:37506->148.72.8.193:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX 19u IPv4 1323485353 0t0 TCP 91.204.46.61:54182->198.54.126.24:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 21u IPv6 1323486575 0t0 TCP [2a03:4000:30:a517::14:2841]:45518->[2606:4700:3031::681b:b598]:https (ESTABLISHED)
und VIEL mehr, aber der post wird zu lang.
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
mwebp_64 18992 hostingXXXXXX cwd DIR 8,3 4096 129892366 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content
mwebp_64 18992 hostingXXXXXX rtd DIR 8,3 4096 2 /
mwebp_64 18992 hostingXXXXXX txt REG 8,3 2389416 129892442 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/mwebp_64 (deleted)
mwebp_64 18992 hostingXXXXXX mem REG 8,3 1738176 393227 /lib/x86_64-linux-gnu/libc-2.19.so
mwebp_64 18992 hostingXXXXXX mem REG 8,3 140928 393224 /lib/x86_64-linux-gnu/ld-2.19.so
mwebp_64 18992 hostingXXXXXX mem REG 8,3 137384 393222 /lib/x86_64-linux-gnu/libpthread-2.19.so
mwebp_64 18992 hostingXXXXXX 0r CHR 1,3 0t0 1028 /dev/null
mwebp_64 18992 hostingXXXXXX 1w CHR 1,3 0t0 1028 /dev/null
mwebp_64 18992 hostingXXXXXX 2w CHR 1,3 0t0 1028 /dev/null
mwebp_64 18992 hostingXXXXXX 3r CHR 1,3 0t0 1028 /dev/null
mwebp_64 18992 hostingXXXXXX 4u REG 8,3 5 129892419 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/.pid
mwebp_64 18992 hostingXXXXXX 5u IPv4 1323544700 0t0 TCP a2e3d.netcup.net:43046->ns44-out.dnscini.com:http (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX 6u unix 0xffff92fe68ed8400 0t0 1318155284 /var/lib/apache2/fcgid/sock/4709.274
mwebp_64 18992 hostingXXXXXX 7u 0000 0,11 0 7639 anon_inode
mwebp_64 18992 hostingXXXXXX 8r CHR 1,9 0t0 1033 /dev/urandom
mwebp_64 18992 hostingXXXXXX 9u REG 8,3 51 130025264 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/ips.php
mwebp_64 18992 hostingXXXXXX 10u REG 8,3 611 130025334 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/config.php
mwebp_64 18992 hostingXXXXXX 11u REG 8,3 40083 130025341 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/attack-data.php
mwebp_64 18992 hostingXXXXXX 12u REG 8,3 11576 130025329 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/config-synced.php
mwebp_64 18992 hostingXXXXXX 13u REG 8,3 913 130025366 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/config-livewaf.php
mwebp_64 18992 hostingXXXXXX 14u REG 8,3 1238216 130025343 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/config-transient.php
mwebp_64 18992 hostingXXXXXX 15u IPv4 1323537960 0t0 TCP a2e3d.netcup.net:42614->cluster002.---.net:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 16u IPv4 1323543898 0t0 TCP a2e3d.netcup.net:48956->premium37-1.web-hosting.com:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 17u IPv4 1323525851 0t0 TCP a2e3d.netcup.net:39920->vps-212557.genesysapp.site:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX 18u IPv4 1323531988 0t0 TCP a2e3d.netcup.net:47070->da601.elit.net:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX 19u IPv4 1323535310 0t0 TCP a2e3d.netcup.net:40568->vs1051.eigenwijze.nl:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX 20u IPv4 1323532732 0t0 TCP a2e3d.netcup.net:39990->sh1.robohost.nl:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 21u IPv4 1323538149 0t0 TCP a2e3d.netcup.net:44722->server263-31.web-hosting.com:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 22u IPv4 1323533692 0t0 TCP a2e3d.netcup.net:39902->world-346.fr.planethoster.net:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 23u IPv4 1323546981 0t0 TCP a2e3d.netcup.net:57142->webs01rdns1.websouls.net:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 24u IPv4 1323531629 0t0 TCP a2e3d.netcup.net:45560->dedi259.jnb3.host-h.net:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 25u IPv4 1323546206 0t0 TCP a2e3d.netcup.net:49176->server181-3.web-hosting.com:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 26u IPv4 1323495104 0t0 TCP a2e3d.netcup.net:44720->full-cdn-01.cluster014.---.net:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX 27u IPv4 1323535267 0t0 TCP a2e3d.netcup.net:53084->bugis.warnahost.com:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX 28u IPv4 1323536207 0t0 TCP a2e3d.netcup.net:56668->ip-166-62-28-94.ip.secureserver.net:https (SYN_SENT)
Alles anzeigen
(auch lol scheinbar werden hier domains zensiert dass man nciht mal logs sinnvoll posten kann