¿Hay alguna manera de ver si FTP fue iniciado por PHP?

Question

Tuve un ataque en mi servidor web donde los archivos .html fueron copiados por FTP en un directorio público html.

La contraseña de FTP era muy fuerte.

Estoy tratando de determinar si PHP inició la transferencia de FTP. ¿Hay algún archivo de registro Apache o Nix que pueda darme esta información?

Información adicional Tengo entradas de registro FTP que parecen mostrar que se utilizaron diferentes direcciones IP para iniciar sesión y copiar los archivos. No estoy seguro pero ¿el? antes de la IP, indique que no es el usuario de la cuenta (que en este caso es el reino)? Parece que se registraron varios IP diferentes, cada uno copiando un archivo diferente, todo en el espacio de menos de 30 segundos. Los archivos ofensivos son "mickey66.html", "mickey66.jpg" y "canopy37.html".

2010-06-17T21: 24: 02,073070 + 01: 00 servidor web pure-ftpd: (?@190.20.76.74) [INFO] reino ahora se registra en

2010-06-17T21 : 24: 06.632472 + 01: 00 webserver pure-ftpd: (?@77.250.141.158) [INFO] reino ahora está conectado en

2010-06-17T21: 24: 07.216924 + 01: 00 webserver pure-ftpd: (kingdom@77.250.141.158) [AVISO] /home/kingdom//public_html/mickey66.html cargado (80 bytes, 0.26KB/seg)

2010-06-17T21: 24: 07.364313 +01: 00 servidor web pure-ftpd: (kingdom@77.250.141.158) [INFO] Cerrar sesión.

2010-06-17T21: 24: 08,711231 + 01: 00 servidor web pure-ftpd: (?@78.88.175.77) [INFO] reino ahora se registra en

2010-06-17T21: 24: 10.720315 +01: 00 webserver pure-ftpd: (kingdom@78.88.175.77) [AVISO] /home/kingdom//public_html/mickey66.jpg cargado (40835 bytes, 35.90KB/seg)

2010-06-17T21: 24: 10.848782 + 01: 00 webserver pure-ftpd: (kingdom@78.88.175.77) [INFO] Cerrar sesión.

2010-06-17T21: 24: 18.528074 + 01: 00 webserver pure-ftpd: (kingdom@190.20.76.74) [INFO] Cerrar sesión.

2010-06-17T21: 24: 22.023673 + 01: 00 servidor web pure-ftpd: (?@85.130.254.227) [INFO] reino ahora se registra en

2010-06-17T21: 24: 23.470817 +01: 00 webserver pure-ftpd: (kingdom@85.130.254.227) [AVISO] /home/kingdom//public_html/mickey66.html cargado (80 bytes, 0.38KB/seg)

2010-06-17T21: 24: 23.655023 + 01: 00 webserver pure-ftpd: (kingdom@85.130.254.227) [INFO] Cerrar sesión.

2010-06-17T21: 24: 26.249887 + 01: 00 servidor web pure-ftpd: (?@95.209.254.137) [INFO] reino ahora se registra en

2010-06-17T21: 24: 28.461310 +01: 00 webserver pure-ftpd: (kingdom@95.209.254.137) [AVISO] /home/kingdom//public_html/canopy37.html cargado (80 bytes, 0.26KB/seg)

2010-06-17T21: 24: 28.760513 + 01: 00 webserver pure-ftpd: (kingdom@95.209.254.137) [INFO] Cerrar sesión.

Answer 1

Tuve un ataque en mi servidor web donde los archivos .html fueron copiados por FTP en un directorio público html.

¿Cómo sabes que se copiaron a través de FTP?

La contraseña de FTP era muy fuerte.

No es muy relevante. FTP envía las contraseñas sin cifrar, por lo que incluso suponiendo que los archivos se entregan a través de FTP, si se olfateó la contraseña es irrelevante la cantidad de entropía que tiene.

Estoy intentando determin si PHP inició la transferencia FTP

No se puede saber lo que era el cliente. Incluso si, como HTTP, el protocolo proporcionado para recopilar información sobre el usuario-agente, no hay forma de determinar la exactitud de esta información (es enviada por el cliente, por lo tanto puede ser manipulada por el cliente).

El registro del servidor FTP debería haber registrado los detalles de qué dirección IP/cuenta de usuario subió qué archivos y cuándo. Pero no se sorprenda si no hay nada relevante allí.

C.

Answer 2

Es posible que tenga un malware en su estación de trabajo que ejecute su cliente FTP.El malware debe robar contraseñas de su cliente FTP y enviarlo a un tercero.

Esto nos sucedió a nosotros. Todas nuestras páginas de destino fueron inyectadas con código malicioso/código iframe-url que descargará este malware en todas las máquinas que abren la página en el navegador.

Answer 3

Por lo que yo sé, el protocolo FTP no tiene una cabecera User-Agent o algo similar. Incluso si así fuera, ¿por qué los escritores de malware agregarían código para identificar activamente su software como malware? Y, ¿por qué querrías evitar el uso legítimo de herramientas de scripts como PHP?

Este tipo de ataques normalmente provienen de dos fuentes:

guiones

• vulnerables alojados en un servidor web público
• clientes de hosting que recibieron sus computadoras comprometidas

Si -como pareces sugiera que en realidad tenga registros de FTP que demuestren que esos archivos se cargaron a través de FTP usando sus credenciales, es probable que tenga la dirección IP de donde provienen los archivos. Compruebe si es su dirección y, en cualquier caso, tome un buen antivirus.