Nun werden in den letzten Tagen vermehrt Dateien synchronisiert, die ich definitiv nicht bearbeitet habe.
Da ist „ein wenig dünn“ und wenn Du bei einem solchen Problem keine besseren Auskünfte gibst muss ich wohl systematisch fragen:
- In welcher Richtung wird denn synchronisiert?
- Hast Du die Dateien erstellt oder sind es neue?
- Haben die Dateien aus Deiner Sicht eine Existenzberechtigung?
- Ist der Inhalt der Dateien auffällig?
- Wird auf die Dateien von außen mit der http-Methode "POST" zugegriffen?
Das letzte Mal, dass ich scheinbar willkürlich aufscheinende Dateien gesehen habe, waren es massenhaft (ca. 1000) Webshells, die nach einem Angriff auf Wordpress installiert und dann verkauft wurden. Der Neukunde hat sich gemeldet als Mails bei T-Online nicht mehr ankamen UND sein Server stand, weil die Platte mit nicht zustellbaren und an den root zurückgeschickten Mails voll war…
Ich frage deshalb:
- Kannst Du eine solche Webshell erkennen oder ausschließen?