Coredumps op webhosting omgeving

Ik zit met een probleempje op een website waar ik de (mede)beheerder van ben. Het betreft een Joomla! 1.5.25 omgeving van de plaatselijke voetbalclub.

Sinds enkele weken verschijnen er in de webroot van onze webhosting online omgeving .core files van circa 16MB groot. Inmiddels is het aantal opgelopen tot 800+ van deze bestanden en neemt het zaakje 13GB aan ruimte in beslag op een hosting omgeving van slechts 500mb.

Nu wordt de site bij KPN gehost en zij hanteren op de nota bene zakelijke helpdesk, het afschuif mechanisme.
Eerst trekt de Webhosting helpdesk de handen terug , vervolgens wijzen se naar de Abusedesk en vervolgens wijzen ze weer naar elkaar en tot slot reageert er helemaal niemand meer op de tickets. Daar is het laatste woord nog niet over gezegd, en deze discussie ga ik wel aan met onze accountmanager. Je zou zeggen dat het ook een stuk eigenbelang van KPN is dat een website geen onnodig dataverkeer gebruikt of een mogelijk beveiligingsproblemen heeft.

Anyway, als webmaster en tweaker wil ik een oorzaak vinden, en niet verstrikt raken in allerlei bureaucratisch geneuzel, vandaar dit topic. Ik heb zelf hiervoor te weinig kennis om het helemaal zelf te kunnen analyseren maar wil er wel van leren. In overleg met BJCK hier een topic gestart, want het gaat immers om hosting.

Het onderzoek begint bij de vraag wat zijn deze coredumps? Deze komen voor zover ik heb kunnen vinden op operating niveau vandaan. Hoe werkt dit in combinatie met RedHat Linux, PHP en Plesk? Als onomstotelijk vast komt te staan dat het een systeem issue is kan ik dat weer doorspelen.

Weet iemand ook of .coredumps gevoelige informatie bevatten die ik beter niet op het www kan zetten ter analyse? Zo nee, dan zou dat mijn volgende stap zijn. Ik heb er zelf door gescanned en zie niets bijzonders maar het is wel 16MB aan tekst dus de kans dat ik iets over het hoofd zie is aanwezig.

Tot slot geven de helpdeskers van KPN aan dat het wellicht een security issue zou kunnen zijn (hackpogingen) wat deze dumps veroorzaken. Dus iemand met meer kaas gegeten van beveiliging nodig ik ook van harte uit om te reageren en me wat op weg te helpen. Is het anders beter de site (tijdelijk) uit de lucht te halen tot het zaakje uitgezocht is?

pven schreef op maandag 05 december 2011 @ 20:42:
Ik zou een coredump niet open-en-bloot op het web zetten, je weet nooit wat iemand er nog uit kan halen. Vergeet niet dat dit over het algemeen een geheugendump is waar best wel eens ruwe data in kan staan.

Heb je zelf het idee dat je gehacked bent? Zo maar wat algemene tips vragen is wel een erg open vraag.

Dank voor de vlotte reactie. Nee, heb zelf niet het idee dat ik gehackt ben. Heb altijd de site meteen na de laatste security bulletins geupdate. Ook heb ik de security richtlijnen van Joomla nauwlettend gevolgd. Alle content staat er als gebruikelijk en verder dan de .core files zie ik ook geen andere rariteiten. De site heeft een normale responsetijd.
Dat het misschien allemaal wat open vragen zijn is waar. Maar ik weet op dit moment nog niet helemaal hoe ik het het beste aan kan vliegen en hoop daarom dat er mensen zijn die eerder met dit bijltje gehakt hebben. Ik wil zo volledig mogelijk antwoord geven, maar ik probeer wel voorzichtig te zijn en daarom ook eerst te vragen wat de consequentie is van het openlijk online plaatsen van een dump file

DukeBox schreef op maandag 05 december 2011 @ 20:46:
Iets dat ik er niet 123 uit kon halen, neem je alleen webhosting af of is het een (virtual)server ? Indien dat eerste lijkt het me niet een coredump van het systeem/os.

Het gaat om puur om een hosting omgeving. Geen (virtual) server. Webhosting Online Linux heet het package bij KPN.

Bastien schreef op maandag 05 december 2011 @ 20:47:
Om welk OS gaat het? En wat voor hosting heb je? VPN of shared webhosting oid?

Die dumps ontstaan doorgaans bij een crash ofzo, kan een programma of het OS zijn maar het kan ook zijn dat het via/door een exploit veroorzaakt is. Ze kunnen best info bevatten die je niet op straat wil hebben.

Je kunt het maken van een dump wel uitschakelen, maar dan kom je niet achter de oorzaak natuurlijk. Maar wat de oorzaak mogelijk is kunnen de logfiles je misschien nog wel vertellen.

Mogelijk dat je met zoiets wat kunt? http://www.webhostinghub....roubleshooting/core-dumps

Het gaat om Red Hat Enterprise Linux, ik zie meerdere malen Red Hat 3.4.6-3 voorbij komen in de dump. Helaas heb ik in het control panel niet de mogelijkheid de log files op te vragen die ik zou willen zien. Ik weet dat een Plesk omgeving deze mogelijkheid wel heeft, maar zo te zien is dit niet beschikbaar gesteld aan de eindgebruikers.

[ Voor 38% gewijzigd door Jerome! op 05-12-2011 20:55 ]

DukeBox schreef op maandag 05 december 2011 @ 20:51:
Kijk eens naar de creation time van de core files en zoek in je http log wat er toen gedaan werd.
Gebruik anders de GNU Debugger gdb om te analyzeren.

Dat zou ik graag doen, zij het dat het control panel mij geen inzage verschaft tot deze logging. Heb het hele menu nogmaals doorgeakkerd maar er zit nergens een optie bij om dit te openen.
Ook via FTP kom ik niet tot de log map.

StM schreef op maandag 05 december 2011 @ 21:46:
PHP gaat op zn bek Waardoor ga je zonder de symbols niet achter komen en dit is gewoon iets wat enkel KPN op kan lossen...

Ok ik ga gewoon opnieuw een ticket indienen met deze foutmelding, misschien dat ze nu wel tot actie overgaan. Bovendien snuffel ik morgen de gegevens van de accountmanager wel op die moet ook maar eens wat gaan uitvoeren.