RootForum Community

Posted: **2004-02-18 19:49**

Mit viel vorhin auf, dass ich auf einmal 1 GB Traffic auf dem FTP Server hatte, na gut dachte ich...

1 Std. später, aufeinmal 8 GB!!!

Ok, keine ahnung, server restartet!!!

Ab in Sysinfo :-O 10GB weniger Speicherplatz!

gut, dann habe ich angefangen zu suchen, und auch gefunden:

Code: Select all

p15142352:/tmp/.../.tmp/site # dir
total 36
drwxr-xr-x    8 wwwrun   www          4096 Feb 18 19:26 .
drwxr-xr-x    3 wwwrun   www          4096 Feb 18 03:30 ..
-rw-------    1 wwwrun   www            48 Feb 18 18:34 .permissions
drwx------    5 wwwrun   www          4096 Feb 18 19:29 CONAN-DEViANCE
drwx------    7 wwwrun   www          4096 Feb 18 19:28 Der.Herr.der.Ringe.Die.Rueckkehr.des.Koenigs.TC.Line.Dubbed.German.SVCD-TGSC
drwx------    3 wwwrun   www          4096 Feb 18 16:42 LICHTER.German.PAL.DVDR-EGM
drwx------    6 wwwrun   www          4096 Feb 18 19:23 MOVIES
drwx------    2 wwwrun   www          4096 Feb 18 19:26 SiteOps.check.your.Prebot.SVCD-DCP
drwx------    4 wwwrun   www          4096 Feb 18 19:22 XBOX

Was soll ich nun machen?
jetzt sehe ich ja, wurde von dem user wwwrun gemacht!
Wie das? Bitte helt mir!

Posted: **2004-02-18 19:55**

Logs und Beweise sichern auf CD Bannen.

Dann Server platt machen(neu installieren lassen)

Posted: **2004-02-18 19:58**

liegt die lücke nicht im apache?

Posted: **2004-02-18 20:01**

Du hast sicher phpkit oder nen Uralten Apache laufen.

Aber jetzt is es rum ums Eck. Daten sichern und alles neu machen.

Wie lange benutzt du den schon Linux ?

Wohl noch ned so lange oder ?

Posted: **2004-02-18 20:05**

Den Server dann schnellstens ins Rescue( sofern vorhanden) und in aller Ruhe mal die Postings hier im Forum lesen. zu dem Thema findest du einige.

Ohne nähere Information läßt es sich schwer wenn überhaupt herausfinden wie die reinkamen.

Ciao Christian

Posted: **2004-02-18 20:08**

ich weiß wie sie reingekommen sind:

http://www.securitybugware.org/mUNIXes/4693.html

laut meinem IAM entstant auch der ganze Traffic am FTP

Posted: **2004-02-18 20:11**

Es heißt aber auf jeden Fall:

Weg mit dem Server vom Netz und komplett platt machen.

Wenn ich das richtig verstanden habe könnten die alles gemacht haben.

PS: Du solltest deine Update Politik mal gründlich überdenken

Posted: **2004-02-18 20:12**

Und du hast wuftp?
Sure?

Ciao Christian

Posted: **2004-02-18 20:14**

amm ne doch nicht

vsftpd

ok, aber danke erstmal! :roll:

Posted: **2004-02-18 21:32**

Hat anon bei dir schreibrechte?

RootForum Community

Wurde gehackt!

Wurde gehackt!

Re: Wurde gehackt!

Re: Wurde gehackt!

Re: Wurde gehackt!

Re: Wurde gehackt!

Re: Wurde gehackt!

Re: Wurde gehackt!

Re: Wurde gehackt!

Re: Wurde gehackt!

Re: Wurde gehackt!