Prettige Kerst allemaal,

Ik heb op onze server een FTP-server draaien (Rumpus). In 1 van de gebruikersmappen ontvang ik de laatste dagen een tekstbestandje met de naam 'ftpchk3.txt'. Als ik het open, staat er alleen in:

<? echo("OK"); ?>

Ik heb geen idee wie dit erin zet, en wat het betekent of kan aanrichten. Iemand een idee?
Dank!

evdb

Fijne kerst ook voor jullie evdb!
Ik lees het als ' ftp check 3'. Dus om te controleren of ftp werkt?
De inhoud is php zodat als je het bestand oproept je alleen OK ziet op je scherm.

Groeten,

MacSmet

Dankjewel waarde MacSmet!

Het kan dus geen kwaad?

Of het kwaad kan?
Iets/iemand zorgt er voor dat dit bestandje er staat/komt want het komt er niet vanzelf lijkt mij.
Ik kan helaas niet beoordelen of dat bewust is geplaatst is of niet. Het moet dan iemand zijn die toegang heeft tot de server m.b.v. FTP gegevens lijkt mij.

evdb,

In de logs kijken wie er recent heeft ingelogd. De eigenaren van de accounts een mailte sturen om om opheldering te vragen. Intussen de wachtwoorden van deze accounts veranderen. Het is namelijk mogelijk dat iemand probeert je server te hacken en wil weten of het mogelijk is php te draaien, waarmee je dan bijvoorbeeld jouw e-mailserver kunt kapen voor een spam-campagne.

De gedachte achter dit kleine onschuldig ogende bestandje zou kunnen zijn dat je het over het hoofd ziet of denkt dat het geen kwaad kan, totdat de hacker zijn snode plannen uitvoert. Bij dit soort rare verschijnselen altijd voorzichtig zijn!

Natuurlijk is het ook mogelijk dat een van je collega's het bestande erop heeft gezet of dat een van jouw eigen programma's een goede reden heeft om dit te doen.

Vriendelijke groet,

Mark

/me is met Mark.

Het eerste dat in m'n hoofd opkomt is dat dit een teken is dat iemand in de gaten houdt of ie nog wel op je server(s) kan komen. Slecht nieuws.

EDIT:
Je bent "de (weggefilterd)", zoals ze zeggen: Google naar ftpchk3.txt en ook naar ftpchk3. Je hebt minstens één trojan op je systeem zitten, al dan niet door je FTP of AFP server die direct aan het Internet hangt.

GANG VAN ZAKEN:
1. Koppel de server af van alle netwerken. Geen enkele netwerkkabel er meer in.
2. Schakel de server uit.
3. Boot van OS X DVD.
4. Maak een kopie van de harde schijf naar een externe harde schijf, voor forensisch onderzoek.
5. Wis je harde schijf -volledig- en doe een nieuwe install van het OS.
6. Herstel al je users en data van backup, NIET van de externe schijf.
7. Pas -alle- passwords aan.
8. Geen backup? Igv geen backups, zie dit.
9. Server is weer schoon en kan terug aan je netwerk. Zet GEEN AFP of FTP server aan.

En helaas zullen we ook alle andere servers in je netwerk moeten controleren op deze trojan en andere mogelijke troep. Er is namelijk grote kans dat men de passwords van jullie accounts heeft gekraakt nadat men toegang kreeg om zo verder te kunnen gaan met de andere computers in je netwerk.

EDIT2:
Draai je toevallig ook nog één of meer websites vanaf die server? Zo ja, dan wordt het tijd om ook alle code van die sites na te pluizen. Mogelijk dat men daar ook iets "leuks" in heeft achtergelaten nadat men binnen is gekomen.

(Bewerkt door Cailin Coilleach om 6:57, 26-12-2009)

(Bewerkt door Cailin Coilleach om 7:42, 26-12-2009)

Als het steeds in dezelfde rumpus-gebruikers map verschijnt, is het waarschijnlijker dat de login van die gebruiker gehacked is, en niet je server.
Of dat anonymous-toegang tot die map aan staat, waardoor iedereen zonder ftp-account bestanden neer kan zetten in die map.

Inderdaad doen wat marksch zegt: in de ftp-logs kijken wie dat bestand heeft geupload. Kijken of dit bestandje blijft verschijnen als je de login van betreffende gebruiker aanpast.

Wederom (sorry Cailin) lijkt me de conclusie dat de server gehacked is voorbarig.

Kan jij garanderen dat er geen rootkit is geinstalleerd? Zo lang ik dat niet met "ja" kan beantwoorden ga ik altijd van het ergste uit. Waar ik werk is: gecompromiteerd account = gecompromiteerde server = van het netwerk af en OF cleanen OF nuke from orbit.

Dus nee, ik loop niet te hard van stapel, het is standaard procedure voor mij als security admin.

Ik kan voor geen enkele computer garanderen dat er geen rootkit is geïnstalleerd.
Maar als de logingegevens van 1 ftp account bekend zijn, wil dat niet zeggen dat een server gehacked is.
Zeker als dat een account is zonder beheersrechten.

Nogmaals, ik zeg niet dat de server niet gehacked is, maar op basis van de tot nu toe gegeven informatie lijkt dat me nog niet waarschijnlijk.

Check dit:

http://www.smartftp.com/forums/index.php?/topic/14070-password-encryption/

Het is dus goed mogelijk dat de login van slechts 1 account bekend is. En dat dit gebeurd is op de computer (windows) van een klant of medewerker die een virus had.

Edit: nog meer:

http://saotn.nl/2008/08/09/oude-virussen-herleven/
http://www.remotedesktop.com/?p=30

Is dus allemaal client-side. Als de 'gehackte' account alleen maar gebruikt werd voor ftp (en die ftp-map dus niet de basis is van een website), is het een kwestie van ftp-account verwijderen (of nieuw, sterk wachtwoord geven) en klant/medewerker waarschuwen dat 'ie mogelijk een virus heeft.

@evdb: heb je de ftp-accounts zelf aangemaakt? Zo ja, hoe sterk zijn de wachtwoorden die je hebt toegekend?

(Bewerkt door Backspin om 14:17, 26-12-2009)

Helemaal waar... Goed, dan zijn de stappen rond herinstallatie en nuken nog even overtrokken. Maar dat neemt niet weg dat die bak zsm van het netwerk af moet om eerst te controleren of er nog meer troep op staat en of er nog meer accounts gecompromiteerd zijn.

Dat lijkt me toch echt een te rigoreuze stap op dit moment.
Het lijkt er tot nu toe op dat er slechts van 1 ftp account logingegevens bekend zijn, vermoedelijk door een virus bij een klant/medewerker.
Als deze ftp-account geen toegang heeft tot systeemkritische bestanden of mappen, kan dit verder geen grote schade aanrichten, zeker niet als de account gedisabled wordt of het wachtwoord gewijzigd.

Dan zijn we het eens dat we het oneens zullen blijven.

Ik zeg "Zekerheid voor alles".
Jij zegt "Rustig aan, dan breekt het lijntje niet".

Oeps, hier schrik ik wel van. Om te beginnen, wordt er voor mij wat moeilijke taal door jullie gebruikt, maar ik begrijp wel dat ik erg voorzichtig moet zijn.

Ik heb inmiddels in de logs van dat ftp-account gekeken, en het bestand blijkt afkomstig te zijn van iemand uit Frankrijk (als ik Google op het ip-nr. krijg ik dat te zien).

Verder hebben wij veel ftp-accounts die allemaal met een heel ingewikkeld en niet te onthouden wachtwoord zijn beveiligd. Behalve dit betreffende account, dat ik namelijk gebruik om af en toe eenmalig iemand wat op de server te laten zetten. Ik heb het account zojuist verwijderd.

Ik heb net contact gezocht met een systeembeheerder, een goed bekendstaand bedrijf dat al jaren voor een vriends bedrijf werkt. Tot nu toe deed ik alles zelf, maar het blijkt dat ik dat niet meer moet doen.

Dank. En nu naar het andere draadje:
http://www.macfreak.nl/cgi-bin/forums/topic.cgi?forum=6&topic=6029