Ergebnis 1 bis 4 von 4

Thema: DEBUG Problem

  1. #1
    Benutzer
    Registriert seit
    02.12.2014
    Beiträge
    58

    DEBUG Problem

    Evtl. kann mir hier jemand weiterhelfen oder mir verraten, wo ich noch gucken/fragen kann.
    Eine meiner Websites läd seit kurzem Total langsam bzw. Antwortet erst sehr spät. Manchmal kommt es dann auch zu einem "Internal Server Error".
    Nun habe ich schon herausgefunden, was da passiert.
    Erstmal habe ich gesehen, dass da eine Connections auf eine IP geöffnet werden.
    Also tcpdump gestartet und den Dump analysiert.
    Sobald ich die Seite aufrufe, macht der Server im Hintergrund eine DNS Abfrage auf "htmlvalue.com" und dann auch mehrere HTML Gets. (sooo what, ich weiß nicht wo das herkomt)
    Nun habe ich in der Firewall alles auf diese IP blockiert und zack ... alles wieder schnell.

    Da "html" und "value" ja häufiger im html / php Code vorkommen, dachte ich da ist wohl irgend was kaputt im Script.
    Hat einer von euch eine Idee, wie ich das Debugen kann?
    Gibts es die Möglichkeit dem DNS lookup zu entlocken, welches script bzw. welcher aufruf es gestartet hat?

    Es handelt sich um ein älteres CMS System, was demnächst auch abgelöst wird.
    Das alles läuft auf Ubuntu 16.04 LTS.

  2. #2
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.529
    Ihr CMS hat sich irgendeine Malware eingefangen.
    Von dieser URL wird Code nachgeladen, der dann auf dem Webserver ausgeführt wird (häufig irgendwas um Malware/Trojaner weiter zu verteilen).

    Lassen Sie am besten mal einen lokalen Malware-Scan laufen (z.B. Linux Malware Detect).

    Die Website an sich sollte schleunigst abgeschaltet werden, bevor diese bei Google etc. auf einer Blacklist landet.

  3. #3
    Benutzer
    Registriert seit
    02.12.2014
    Beiträge
    58
    Hab ich auch schon vermutet, laut maldet und chkrootkit ist aber alles sauber. Ich konnte bisher auch nichts anderes auffälliges finden. Ich suche mal weiter.

  4. #4
    Benutzer
    Registriert seit
    02.12.2014
    Beiträge
    58
    Es war tatsächlich ein Schadcode. Vielen Dank

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •