Есть ли способ увидеть, был ли FTP инициирован PHP?

Question

У меня была атака на моем веб-сервере, где файлы .html были скопированы FTP в общедоступный каталог html.

Пароль FTP был очень сильным.

Я пытаюсь определить, инициировал ли PHP передачу FTP. Есть ли файл журнала Apache или Nix, который может дать мне эту информацию?

Дополнительная информация У меня есть записи в журнале FTP, которые, как представляется, отображают разные IP-адреса, были использованы для входа и копирования файлов. Я не уверен, но так ли? до того, как указывается IP, за исключением того, что он не является пользователем учетной записи (что в данном случае является королевством)? Похоже, что регистрируется несколько разных IP-адресов - каждый из которых копирует другой файл - все это занимает менее 30 секунд. Нарушающими файлами являются «mickey66.html», «mickey66.jpg» и «canopy37.html».

2010-06-17T21: 24: 02,073070 + 01: 00 вебсервер чисто даемон: (?@190.20.76.74) [INFO] королевство теперь вошли в

2010-06-17T21 : 24: 06.632472 + 01: 00 webserver pure-ftpd: (?@77.250.141.158) [INFO] королевство теперь зарегистрировано в

2010-06-17T21: 24: 07.216924 + 01: 00 webserver pure-ftpd: (kingdom@77.250.141.158) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.html загружено (80 байт, 0,26 КБ/с)

2010-06-17T21: 24: 07.364313 +01: 00 webserver pure-ftpd: (kingdom@77.250.141.158) [INFO] Выход из системы.

2010-06-17T21: 24: 08,711231 + 01: 00 вебсервер чисто даемон: (?@78.88.175.77) [INFO] королевство теперь вошли в

2010-06-17T21: 24: 10,720315 +01: 00 webserver pure-ftpd: (kingdom@78.88.175.77) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.jpg загружено (40835 байт, 35,90 КБ/с)

2010-06-17T21: 24: 10.848782 + 01: 00 webserver pure-ftpd: (kingdom@78.88.175.77) [INFO] Выход из системы.

2010-06-17T21: 24: 18.528074 + 01: 00 webserver pure-ftpd: (kingdom@190.20.76.74) [INFO] Выход из системы.

2010-06-17T21: 24: 22,023673 + 01: 00 вебсервер чисто даемон: (?@85.130.254.227) [INFO] королевство теперь вошли в

2010-06-17T21: 24: 23,470817 +01: 00 webserver pure-ftpd: (kingdom@85.130.254.227) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.html загружено (80 байт, 0,38 КБ/с)

2010-06-17T21: 24: 23.655023 + 01: 00 webserver pure-ftpd: (kingdom@85.130.254.227) [INFO] Выход из системы.

2010-06-17T21: 24: 26,249887 + 01: 00 вебсервер чисто даемон: (?@95.209.254.137) [INFO] королевство теперь вошли в

2010-06-17T21: 24: 28,461310 +01: 00 webserver pure-ftpd: (kingdom@95.209.254.137) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/canopy37.html загружено (80 байт, 0,26 КБ/с)

2010-06-17T21: 24: 28.760513 + 01: 00 webserver pure-ftpd: (kingdom@95.209.254.137) [INFO] Выход из системы.

Answer 1

У меня была атака на моем веб-сервере, где файлы .html были скопированы FTP в общедоступную html-директорию.

Как вы узнали, что они были скопированы по FTP?

Пароль FTP был очень сильным.

Не очень важно. FTP отправляет пароли незашифрованными - так что даже если предположить, что файлы были доставлены через FTP, если пароль был обнюхал, то не имеет значения, сколько у него энтропии.

Я пытаюсь determin инициирована в PHP ли передача FTP

Вы не можете сказать, что клиент был. Даже если, как и HTTP, протокол, предусмотренный для сбора информации о пользователе-агенте, нет способа определить точность этой информации (она отправляется клиентом, поэтому его можно манипулировать клиентом).

В вашем журнале FTP-сервера должны быть записаны сведения о том, какой IP-адрес/учетная запись пользователя загружены, какие файлы и когда. Но не удивляйтесь, если в этом нет ничего важного.

C.

Answer 2

Возможно, на вашей рабочей станции есть вредоносная программа, на которой выполняется FTP-клиент.Вредоносная программа должна украсть пароли из вашего FTP-клиента и отправить ее сторонним пользователям.

Это случилось с нами. На все наши целевые страницы был введен код вредоносного кода/iframe-url, который будет загружать эту вредоносную программу на всех компьютерах, которые открывают страницу в браузере.

Answer 3

Насколько я знаю, протокол FTP не имеет заголовок User-Agent или что-нибудь подобное. Даже если бы это было так, почему авторы вредоносных программ добавляли код, чтобы активно идентифицировать свое программное обеспечение как вредоносное ПО? И почему вы хотите предотвратить законное использование скриптовых инструментов, таких как PHP?

Такого рода атаки обычно поступает из двух источников:

• уязвимых скриптов, размещенных в публичном вебе-сервере
• хостинг клиентов, которые получили их компьютеры скомпрометированы

Если ими вы, кажется, предположим, что у вас есть FTP-журналы, чтобы доказать, что эти файлы были загружены через FTP с использованием ваших учетных данных, вероятно, у вас есть IP-адрес, из которого поступали файлы. Проверьте, ваш адрес и, в любом случае, возьмите хороший антивирус.