RootForum Community

Hallo,

als ich heute auf meinen Server Daten kopieren wollte, ist mir aufgefallen, dass der Server komplett down für einen Tag war.
Auf dem Server läuft Suse 8.2 inkl. Mysql, php

Hier ein Auszug aus der LOG
May 7 20:24:00 server /USR/SBIN/CRON[23740]: (root) CMD (/home/laufend.sh)
May 7 20:24:00 server /USR/SBIN/CRON[23742]: (root) CMD (/root/sysweb/config_counterscript.pl)
May 7 20:25:00 server /USR/SBIN/CRON[23836]: (root) CMD (/usr/bin/php /srv/www/htdocs/web15/html/checkping.php > /dev/null)
May 7 20:25:00 server /USR/SBIN/CRON[23838]: (root) CMD (/home/laufend.sh)
May 7 20:25:08 server /USR/SBIN/CRON[23840]: (root) CMD (/root/sysweb/config_counterscript.pl)
May 7 20:26:04 server /USR/SBIN/CRON[23923]: (root) CMD (/usr/bin/php /srv/www/htdocs/web15/html/checkping.php > /dev/null)
May 7 20:26:04 server /USR/SBIN/CRON[23925]: (root) CMD (/etc/rc.d/apache restart > /dev/null 2>&1)
May 7 20:26:04 server /USR/SBIN/CRON[23927]: (root) CMD (/etc/rc.d/named restart > /dev/null 2>&1)
May 7 20:26:04 server /USR/SBIN/CRON[23929]: (root) CMD (/root/sysweb/config_counterscript.pl)
May 7 20:26:06 server vsftpd[23921]: connect from MEINE IP (MEINE IP)
May 9 11:21:50 server syslogd 1.4.1: restart. <!------ Hier habe ich den Server gestartet------>
May 9 11:21:55 server /etc/hotplug/usb.rc[971]: loaded HCD: ehci-hcd
May 9 11:21:55 server kernel: klogd 1.4.1, log source = /proc/kmsg started.
May 9 11:21:55 server kernel: Inspecting /boot/System.map-2.4.20-4GB
May 9 11:21:57 server kernel: Loaded 20969 symbols from /boot/System.map-2.4.20-4GB.
May 9 11:21:57 server kernel: Symbols match kernel version 2.4.20.
May 9 11:21:57 server kernel: Loaded 317 symbols from 11 modules.
May 9 11:21:57 server kernel: Intel(R) PRO/100 Network Driver - version 2.1.29-k3
May 9 11:21:57 server kernel: Copyright (c) 2002 Intel Corporation
May 9 11:21:57 server kernel:
May 9 11:21:57 server kernel: e100: selftest OK.
May 9 11:21:57 server kernel: e100: eth0: Intel(R) PRO/100 VE Network Connection
May 9 11:21:57 server kernel: Hardware receive checksums enabled
May 9 11:21:57 server kernel:
May 9 11:21:57 server kernel: e100: eth0 NIC Link is Up 100 Mbps Full duplex
May 9 11:21:57 server kernel: raw1394: /dev/raw1394 device initialized
May 9 11:21:57 server kernel: usb.c: registered new driver usbdevfs
May 9 11:21:57 server kernel: usb.c: registered new driver hub


Weiss jemand wie ich dies verhindern kann ?

Schuss ins Blaue: Du hast durch deine extrem buggy Kernelversion ungebetene Besucher auf der Kiste gehabt?!?

CaptainCrunch wrote:Schuss ins Blaue: Du hast durch deine extrem buggy Kernelversion ungebetene Besucher auf der Kiste gehabt?!?

Besucher hatte ich laut Firewall keinen auf dem Server. (Firewall auf einer externen Maschine)

walter12 wrote:Besucher hatte ich laut Firewall keinen auf dem Server. (Firewall auf einer externen Maschine)

:roll:

aja dann bist du ja sicher,

SCNR

chris76 wrote:

walter12 wrote:Besucher hatte ich laut Firewall keinen auf dem Server. (Firewall auf einer externen Maschine)

:roll:

aja dann bist du ja sicher,

SCNR

Ich hab dies sogar von einer externen Person (Linuxprofi vom RZ) prüfen lassen.

Schuss ins Blaue: via-rhine

Amerkung: Auch ein "Linuxprofi" kann einen gut versteckten Einbruch nicht finden.

øxygen wrote:Schuss ins Blaue: via-rhine

Amerkung: Auch ein "Linuxprofi" kann einen gut versteckten Einbruch nicht finden.

Ein Einbruch auf dem Server durch einen Hacker, sollte eigentlich in einer LOG-Datei auf einem exteren Firewallserver zu sehen sein.

Welche Möglichkeiten würde es noch geben ? Im weiteren war der PHP-Dienst komplett ausgefallen.

ich würde mal diese ganzen cronjobs unter die lupe nehmen.
die laufen ja alle als root, was bestimmt schonmal nicht nötig wäre.

/usr/bin/php /srv/www/htdocs/web15/html/checkping.php

dir is schon klar das jeder der zugang auf dieses script hat auch rootzugang zu deinem system hat?
hat jetzt vielleicht nix mit dem prob zu tun aber die crons würd ich alle mal als user laufen lassen.


P.S. wenn jemand z.b. dein rootpass per script ändert und sich dann einloggt sieht man auf einer firewall garnix. einzig auffällig wäre dann wenn der login aus einem anderen netz kommt, was aber auch nix besonderes bei vielen servern is.

Hallo,

hat mal einer genau verfolgt wo die Zeile
> May 7 20:26:04 server /USR/SBIN/CRON[23925]: (root) CMD (/etc/rc.d/apache restart > /dev/null 2>&1

herkommt?

crontab -l ? Ist dort so was aufgeführt ?

Noch ein Tip: Unter SuSE 8.1 ist mir aufgefallen, dass
unter /etc/logrotate.d die Einträge in apache
schlicht und ergreifend falsch sind:
Das führte zu einem Ausfall eines HTTP-Dienste ca. alle 48 Stunden...
(relativ viel Traffic drauf...)
Zum einen sollte das mithilfe von apache graceful gemacht werden und die kompression muss eben was warten....
Siehe auch http://httpd.apache.org/docs/logs.html
MfG
Karl Heinz

mutombo wrote:ich würde mal diese ganzen cronjobs unter die lupe nehmen.
die laufen ja alle als root, was bestimmt schonmal nicht nötig wäre.

/usr/bin/php /srv/www/htdocs/web15/html/checkping.php

....

Bei dem o.g. Skript kann keiner das Passwort ohne weiteres ändern. Eine Passwortänderung kann nur durch den Admin erfolgen