Apache 2.0 mit Prozesskennzeichnung livezone - Ports belegt

[muemmel]

Hi!

Seit heute morgen treten auf einem meiner beiden Rootserver folgende Probleme auf:

1. In einem nicht bestimmten Intervall ist plötzlich der Apache nicht mehr erreichbar.
2. Beendet man den Apache auf der Konsole bleibt ein Prozess hängen: "httpd ...... ? livezone"
3. Nachdem man den entsprechenden Prozess gekillt hat, lässt sich der Socket nicht mehr nutzen. Einzige abhilfe: Ein kompletter Serverneustart.

Bemerkung zu 2.: Die ...... ersetzen Dutzende Leerzeichen

Könnte es sein, dass da ein neuer Wurm in Umlauf ist, von dem im Inet noch nichts steht?

Konnte bisher weder im Inet noch in irgendwelchen Boards was zu dem Thema finden. Habt ihr ne Idee?

[Joe User]

Es ist (noch) kein Wurm im herkömmlichen Sinne, sondern ein modifiziertes (uraltes) C-Script von "Bronc Buster"...

[alex0801]

Und wie krieg ich das "Problem" wieder beseitigt ?
Ich weiß, ist ein recht alter Thread, aber das hier war das einzigste im Netz das ich gefunden hab und exakt zu meinem Problem hier passt.

Mein System:
Debian Sarge
Apache2

Muss nicht neu starten. Ich schau mit netstat -a -p | grep www nach was noch den Port 80 nutzt und kille den Prozess. Dann kann man auch den httpd Prozess killen und Apache neu starten.

Lasse gerade Clam-AV drüber laufen ... weiß nicht ob der im Stande ist es zu finden.

Generell hab ich zu dem besagten C-Script jetzt noch nix gefunden.
Wer kann mir weiter helfen?

- Alex

[Joe User]

http://www.google.com/search?hl=en&ie=U ... er%20httpd
http://www.google.com/search?hl=en&ie=U ... ne%20httpd

ClamAV wird hier kaum weiterhelfen, da hilft nur der Blick in den Source und http://www.rootforum.org/faq/14_183_de.html

[alex0801]

Na soviel hab ich bei google auch schon gesucht. Aber ich lande meist bei irgend nem redirect-script und nem irc-bot.

Kann mir denn keiner etwas genauer sagen um was es sich hier handelt?
Modifizierter Source?! welcher? Und durch was, bzw wie?
Heisst das mein Apache-HTTPD wurde von irgendwas modifiziert?

Wenn ja: Eine Apache-Neuinstallation würde das dann ja beheben.

Durch was wird sowas ausgelöst?

Consolenzugriff hat glaub niemand erlangt. Meine Passwörter sind alle mind. 10 stellig und enthalten Klein- und Großbuchstaben, Zahlen und Sonderzeichen.

Eine Systemneuinstalation wäre krass. Hab zwar von allem Backups, aber das ist voll der Mega-Aufwand.

Hab google jetzt shcon über ne Stunde bemüht und bin noch nicht dahinter gekommen was das jetzt genau ist, durch was es ausgelöst wurde und wie man es preventiv verhindern kann.

Für jeden Tipp wäre ich dankbar,
gruß
Alex

[Joe User]

Besorge Dir das Script, analysiere es, denke mehrmals über die potentiellen Risiken des Scripts und der entsprechenden Gegenmasnahmen nach und agiere entsprechend...

[alex0801]

Prima, nur muss man es erstmal haben. Dachte hier wüsste jemand bescheid. Nun ja, dann werd ich mich jetzt mit weitersuchen beschäftigen.

Hast du noch nen Anhaltspunkt außer Bronc Buster ?

- Alex

[alex0801]

Bin noch am suchen... hab nebenher mal apache auf den neusten apt-stand gebracht.

Weißt jemand von wo aus dieses Script ausgeführt wird und/oder ob es duch ne Apache-Sicherheitslücke reinkommt?

- Alex

[Joe User]

Solche Software wird vorzugsweise über Exploits in Webapplikationen und sonstiger Software eingeschleust. Daher soll man ja auch schnellstmöglich alle verfügbaren Updates für jede installierte Software, inklusive Scripts, einspielen. Das Motto "Never change a running system." ist heutzutage mehr als nur deprecated...

Links zum Script findest Du über obige Suchabfragen und das Binary irgendwo auf Deinem ge'root'etem System...