DEBUG Problem

  • Evtl. kann mir hier jemand weiterhelfen oder mir verraten, wo ich noch gucken/fragen kann.
    Eine meiner Websites läd seit kurzem Total langsam bzw. Antwortet erst sehr spät. Manchmal kommt es dann auch zu einem "Internal Server Error".
    Nun habe ich schon herausgefunden, was da passiert.
    Erstmal habe ich gesehen, dass da eine Connections auf eine IP geöffnet werden.
    Also tcpdump gestartet und den Dump analysiert.
    Sobald ich die Seite aufrufe, macht der Server im Hintergrund eine DNS Abfrage auf "htmlvalue.com" und dann auch mehrere HTML Gets. (sooo what, ich weiß nicht wo das herkomt)
    Nun habe ich in der Firewall alles auf diese IP blockiert und zack ... alles wieder schnell.


    Da "html" und "value" ja häufiger im html / php Code vorkommen, dachte ich da ist wohl irgend was kaputt im Script.
    Hat einer von euch eine Idee, wie ich das Debugen kann?
    Gibts es die Möglichkeit dem DNS lookup zu entlocken, welches script bzw. welcher aufruf es gestartet hat?


    Es handelt sich um ein älteres CMS System, was demnächst auch abgelöst wird.
    Das alles läuft auf Ubuntu 16.04 LTS.

  • Ihr CMS hat sich irgendeine Malware eingefangen.
    Von dieser URL wird Code nachgeladen, der dann auf dem Webserver ausgeführt wird (häufig irgendwas um Malware/Trojaner weiter zu verteilen).


    Lassen Sie am besten mal einen lokalen Malware-Scan laufen (z.B. Linux Malware Detect).


    Die Website an sich sollte schleunigst abgeschaltet werden, bevor diese bei Google etc. auf einer Blacklist landet.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!