execution attempt in: /tmp/httpd

Rund um die Sicherheit des Systems und die Applikationen
as-n
Posts: 196
Joined: 2002-12-19 17:42

execution attempt in: /tmp/httpd

Post by as-n » 2004-12-03 08:17

Muss ich mir hier Gedanken machen?

Code: Select all

Dec 3 06:47:16 h9284 kernel: PAX: From 69.88.24.235: execution attempt in: /tmp/httpd, 0804a000-0804b000 00002000
Dec 3 06:47:16 h9284 kernel: PAX: From 69.88.24.235: terminating task: /tmp/httpd(httpd):3712, uid/euid: 647/647, PC: 0804a6f0, SP: 59e0a1ec
Dec 3 06:47:16 h9284 kernel: PAX: bytes at PC: 55 89 e5 81 ec 0c 10 00 00 57 56 53 e8 d7 fe ff ff 85 c0 74 
Dec 3 06:47:16 h9284 kernel: grsec: From 69.88.24.235: attempted resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 by /tmp/httpd[httpd:3712] uid/euid:647/647 gid/egid:647/647, parent /bin/bash[sh:24071] uid/euid:647/647 gid/egid:647/647
Ciao
AS-N

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: execution attempt in: /tmp/httpd

Post by captaincrunch » 2004-12-03 08:21

Jap. Anscheinend hat es jemand geschafft, einen httpd in deinem /tmp abzulegen. Dank PaX kann er ihn aber wohl nicht ausführen. Ich würd mir die Kiste aber trotzdem mal ganz genau unter die Lupe nehmen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: execution attempt in: /tmp/httpd

Post by as-n » 2004-12-03 09:08

Hallo,

es sieht so aus als ob ein Account ein anfälliges Shopscript in Perl laufen hat.
Was ich noch gefunden habe:

Code: Select all

Dec  2 21:40:00 h9284 /USR/SBIN/CRON[22725]: (web5) CMD (/srv/www/htdocs/web5/html/shop/cgi-bin/shop/.log/.psy/y2kupdate >/dev/null 2>&1)
Sieht nach einer "File Injection Bug" Atacke aus, der hat wohl evrsucht eggdrop zu installieren:

Code: Select all

/tmp/data/chanarybot.tar.gz

Es läuft php als cgi über suPHP und natürlich auch suexec, grsecurity patch ist drin und es handelt sich um den 2.4.28er Kernel mit einer SuSE9.0.

Bitte sagt mir, dass ich den Server nicht komplett neu einrichten muss, ich hatte heute Nachmittag was anderes vor. :wink:

Ciao
AS-N[/code]