# Phishing / „paypal.de.html“



## fatmaddin2000 (26. Nov. 2012)

Ich habe seit schon einiger Zeit zwei Server in einem Multiserversetup laufen, einer ist auf Debian Squeeze (auf dem läuft auch das ISPConfig mit Apache) und auf dem anderen ist ein Ubuntu 10.04. (mit Apache). Wurde alles nach den "Perfect Server"-Settings von damals und dem Multi-Server-Setup konfiguriert und lief bisher ohne Probleme. Der Ubuntu-Server ist up-to-date und auf dem Squeeze ist noch nicht die aktuelle MySQL-Version drauf.


Bei einem Kunden auf dem Ubuntu wurde jetzt in einem Domainordner (ein Wordpress läuft da) eine „paypal.de.html“ gefunden. Sie wurde erstmal gelöscht. Aber wie kann das passieren? Ich lasse jetzt erstmal alle FTP-Zugänge und Wordpresszugänge zurücksetzen.
Es ist bisher nur bei dieser Domain aufgetreten. 
Leider weiß ich nicht seit wann diese Datei da drin war. In meinem Fail2Ban Log von gestern habe ich diese Einträge gefunden:

```
2012-11-25 02:41:42,741 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2012-11-25 02:44:44,126 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2012-11-25 02:44:53,126 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
```
Hat das irgendwie was damit zu tun? Kann aber wie gesagt auch schon länger dort liegen.


Ich habe gerade auch ein bisschen recherchiert. Kann es sein, dass auf dem Ubuntu-Server unabsichtlich mod_userdir aktiviert wurde? Wie könnte ich das herausfinden? Könnte das eine Schwachstelle sein?

Wenn ihr mir helfen könntet, wäre ich sehr dankbar. Ich bin etwas ratlos.


----------



## F4RR3LL (26. Nov. 2012)

Fangen wir am besten mal vorne an ... wie ist PHP bei diesem User eingebunden?
Außerdem gibts nen Plugin für Wordpress welches ebenso ausschaut (vom Namen her). Wurde das evtl einfach reingepackt... denn dann liegt hier kein Fehler/Hack o.ä. vor sondern alles ist ok. Wie war der Inhalt dieser html? Hast Du den Code noch?

Gruß Sven


----------



## fatmaddin2000 (26. Nov. 2012)

Hallo Sven,
ich denke, es ist defintiv Phishingmäßiges. Hier der Code:


```
<div>
	<a href="http://..../wp-content/plugins/syntaxhighlighter/third-party-brushes/ovh/"><img src="http://............./FwEa.png" alt="  "></a>
</div>
```
Wie meinst du das mit, "wie ist PHP" eingebunen?

Ich schicke dir mal eine PM mit dem Link zu einer phpinfo

Beste Grüße,
Martin


----------



## Till (26. Nov. 2012)

> Hat das irgendwie was damit zu tun? Kann aber wie gesagt auch schon länger dort liegen.


Nein, das ist die regelmäßige Logrotaion die jedes Linux System auf seine Logs anwendet damit sie nicht zu große werden.

Die häufigste Ursache für socl ein problem ist ein Bug im jeweiligen CMS System (also hier wordpress) oder aber in einem der installierten Wordpress Plugins. Seit wann die Datei da ist und ob sie mit php bzw, FTP hochgeladen wurde kannst Du mit einem ls -la prüfen.

Btw. Könntest Du bitte mal den obigen Phising code so ändern dass Du z.B. die Domain durch Punkte ersetzt, ich möchte nicht das Google und Co howtoforge als phising seite blocken


----------



## fatmaddin2000 (26. Nov. 2012)

Zitat von Till:


> Die häufigste Ursache für socl ein problem ist ein Bug im jeweiligen CMS System (also hier wordpress) oder aber in einem der installierten Wordpress Plugins. Seit wann die Datei da ist und ob sie mit php bzw, FTP hochgeladen wurde kannst Du mit einem ls -la prüfen.


Danke! Hab die Datei leider schon vom Server gelöscht. Deshalb nützt das wohl nichts mehr.


----------



## Croydon (26. Nov. 2012)

Maddin, vielleicht kannst du es ja auch mal mit maldetect probieren.
Ich hatte dazu mal einen Beitrag basierend auf einem englischen Howtoforge Eintrag verfasst:
Malware Erkennung in Webseiten unter Debian mit maldetect und inotify - soeren-hentzschel.at
GGf findest du damit ja noch ein paar mehr Sachen in den Webs.


----------

