execution attempt in: /tmp/httpd

Post by **as-n** » 2004-12-03 08:17

Muss ich mir hier Gedanken machen?

Dec 3 06:47:16 h9284 kernel: PAX: From 69.88.24.235: execution attempt in: /tmp/httpd, 0804a000-0804b000 00002000
Dec 3 06:47:16 h9284 kernel: PAX: From 69.88.24.235: terminating task: /tmp/httpd(httpd):3712, uid/euid: 647/647, PC: 0804a6f0, SP: 59e0a1ec
Dec 3 06:47:16 h9284 kernel: PAX: bytes at PC: 55 89 e5 81 ec 0c 10 00 00 57 56 53 e8 d7 fe ff ff 85 c0 74 
Dec 3 06:47:16 h9284 kernel: grsec: From 69.88.24.235: attempted resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 by /tmp/httpd[httpd:3712] uid/euid:647/647 gid/egid:647/647, parent /bin/bash[sh:24071] uid/euid:647/647 gid/egid:647/647

Ciao
AS-N

Post by **captaincrunch** » 2004-12-03 08:21

Jap. Anscheinend hat es jemand geschafft, einen httpd in deinem /tmp abzulegen. Dank PaX kann er ihn aber wohl nicht ausführen. Ich würd mir die Kiste aber trotzdem mal ganz genau unter die Lupe nehmen.

Post by **as-n** » 2004-12-03 09:08

Hallo,

es sieht so aus als ob ein Account ein anfälliges Shopscript in Perl laufen hat.
Was ich noch gefunden habe:

Code: Select all

Dec  2 21:40:00 h9284 /USR/SBIN/CRON[22725]: (web5) CMD (/srv/www/htdocs/web5/html/shop/cgi-bin/shop/.log/.psy/y2kupdate >/dev/null 2>&1)

Sieht nach einer "File Injection Bug" Atacke aus, der hat wohl evrsucht eggdrop zu installieren:

Code: Select all

/tmp/data/chanarybot.tar.gz

Es läuft php als cgi über suPHP und natürlich auch suexec, grsecurity patch ist drin und es handelt sich um den 2.4.28er Kernel mit einer SuSE9.0.

Bitte sagt mir, dass ich den Server nicht komplett neu einrichten muss, ich hatte heute Nachmittag was anderes vor.

Ciao
AS-N[/code]

RootForum Community

execution attempt in: /tmp/httpd

execution attempt in: /tmp/httpd

Re: execution attempt in: /tmp/httpd

Re: execution attempt in: /tmp/httpd