gestern wurde ich anscheinend angegriffen/gescannt
Hatte gestern gegen 12:45 Uhr 2,2 GB Traffic innerhalb von paar Minuten. Suche grad den Grund dafür.
in der /var/log/sa ist mir aufgefallen: txpck/s 260; txbyt/s 392878,52; rxbyt/s 83Mar 17 12:43:19 kassel194 kernel: ip_conntrack: table full, dropping packet.
Mar 17 12:43:25 kassel194 last message repeated 10 times
seit gestern hängen ein paar Prozesse im System die von wwwrun gestartet wurden:
z.b.
dieses "kaiten" wurde anscheined durch apache runtergeladen, war dort in den logs. Quelle: http://mitglied.lycos.de/Saschalike/kaiten30193 wwwrun Mar17 /user
5887 wwwrun Mar17 [kaiten] <defunct>
6058 wwwrun Mar17 [kaiten] <defunct>
6227 wwwrun Mar17 [kaiten] <defunct>
17375 wwwrun Mar17 [kaiten] <defunct>
Wenn man da mit nem editor reinschaut, steht was von Spoofing und verschiedenen tools...
Hat sich da einer eine Lücke im Apache ausgenutzt und ein tool eingeschleust? Wie werde ich diese dauerhaft los?
Bitte um Info/Help, wegen Diplomarbeit habe ich keine Zeit mich mit Iptables, Intrusion Detection etc. zu beschäftigen
Habe einen ded. Server4you, SuseFirewall laufen (logging aus), apache 2.0.50
Die Dateisuche hat grad ergeben, dass unter /tmp sich 2 ausführbare tools befinden: kaiten und bindit (selbe url wie oben, kann man auch runterladen), wobei kaiten schon seit dem 25.02. und bindit seit dem 05.02. auf dem rechner sind, entweder vorher nicht augefallen, oder jetzt erst aktiv geworden. Owner ist www/www-run chmod ist 777
Nachtrag: http://www.sophos.de/virusinfo/analyses/trojkaiten.html
Ist ein Backdoor-Trojaner, für DDOS
