Finde Sicherheitslücke nicht

[sam.schwedler]

Hallo,

ich habe einen 1und1 Server mit Suse 11.3 und Plesk 10.2.
Seit 14 Tagen tauchen in der Prozessliste solche Prozesse auf:

Code: Select all

wwwrun   16669  0.0  0.0  22860  3700 ?        S    Jul15   0:00 httpd
wwwrun   16681 55.0  0.1  22324  4404 ?        R    Jul15 493:28 /usr/sbin/ht
wwwrun   16706  0.0  0.0  22860  3700 ?        S    Jul15   0:00 httpd
wwwrun   16713  0.2  0.1  28636  4536 ?        S    Jul15   2:14 /usr/sbin/ht
wwwrun   16726  0.0  0.0  22860  3700 ?        S    Jul15   0:00 httpd
wwwrun   16735  0.2  0.1  28636  4540 ?        S    Jul15   2:34 /usr/sbin/ht

Jedoch gibt es diese Dateien nicht.
Dafür jedoch im /tmp Verzeichnis sh Scripte und php Scripte in gepackter und entpackter Variante.
Wenn ich nach dem Dateidatum die Apache Logfiles aller Webseiten durchsuche, gibt es keinen Eintrag. Lediglich die Serverseitige error_log Datei logt Warnungen, die das Script erzeugt mit, jedich ohne IP und dergleichen.

Ich glaube inzwischen, das Plesk oder ein Modul davon eine Sicherheitslücke hat.

Hatte schon jemand so ein Problem?

[ddm3ve]

Ein solches Problem fand sich hier:

http://www.rootforum.org/forum/viewtopi ... 75&t=51693

Letzendlich läuft es immer auf das gleiche hinaus. Unsichere Webanwendung, veraltetes CMS, Forensoftware etc.
Meist PHP Anwendung derzeit seltener Perls oder andere cgi Scripte.

Es hilft nur ein aufwändiges suchen in den Logfiles sowei den deployten Anwendungen.

Lösung sollte immer sein, den Server neu aufsetzen, jeden Dienste / Domain gründlich untrsuchen. Ist diese Sauber, kann man es ggf. wieder online nehmen.
Ich würde an der Stelle noch nach Rootskits etc. suchen.
Wichtig ist, ein befallenes System immer von einem sauberen System aus zu prüfen. Man weiss nie, was alles verändert wurde und was einem dadurch vorenthalten wird.