RootForum Community

Hallo,

wenn ich TOP aufrufe, erhalte ich 2 Prozesse, die beide den Namen "eboxdd0shot" und vom Apache User wwwrun ausgeführt werden.

Die beiden Prozesse erzeugen extrem viel Traffic. Leider habe ich das Leck bislang nicht finden können. Nirdgenwo steht was in den Logs. Wenn die Prozesse "kille", endet der Traffic. Es muss also damit zu tun haben.

Was kann ich tun? Kennt jemand diese Prozesse vielleicht und kann mir helfen? Danke für jeden Tipp...

Dein Server wird zum D(D)OS eines anderen Servers misbraucht. Fahre die Kiste sofort!!! in den Rescuemode und analysiere das System von dort aus.

Joe User wrote:Dein Server wird zum D(D)OS eines anderen Servers misbraucht. Fahre die Kiste sofort!!! in den Rescuemode und analysiere das System von dort aus.

Hi,

ok, danke erstmal für den hinweis. kiste ist vom netz. problem ist nur, dass ich absolut NICHTS finden kann wo sich der mist eingenistet hat oder wo das leck aufm server sein soll.

hast du ne ahnung um was es sich hier genau handelt. vielleicht einen tipp wo ich mal anfangen kann zu suchen - danke.

Offensichtlich handelt es sich um einen neuen (modifizierten) Exploit/Bot, da weder Google, MSN, Bugtraq noch Paketstorm einen Treffer für "eboxdd0shot" liefern (oder ich bin zu blöd zum Suchen).

Joe User wrote:Offensichtlich handelt es sich um einen neuen (modifizierten) Exploit/Bot, da weder Google, MSN, Bugtraq noch Paketstorm einen Treffer für "eboxdd0shot" liefern (oder ich bin zu blöd zum Suchen).

Genau das ist auch mein Problem. ich hab schon alles abgesucht, aber ich find nix. keiner spuckt was aus, niemand kennt das ding *VERZWEIFELT SEIN*.

naja, muss halt die komplette kiste abgrasen. kein plan wo ich anfangen soll. bin weiterhin für jd tipp dankbar...

Joe User wrote:da weder Google, MSN, Bugtraq noch Paketstorm einen Treffer für "eboxdd0shot" liefern (oder ich bin zu blöd zum Suchen).

Namen sind wie Schall und Rauch. ;)
Klarheit kann wohl eh nur eine Analyse des Skripts bringen.

phantom32 wrote:naja, muss halt die komplette kiste abgrasen. kein plan wo ich anfangen soll. bin weiterhin für jd tipp dankbar...

Wenn ich du wäre, würde ich bei den Access Logs des Webservers anfangen...

Roger Wilco wrote:Namen sind wie Schall und Rauch. ;)

Ich weiss, nur hatte ich bisher mindestens bei einem der Vier einen passenden Treffer, selbst bei drei 0days. Daher wurmt es mich ;)

Roger Wilco wrote:Klarheit kann wohl eh nur eine Analyse des Skripts bringen.

Eventuell hilft ja http://www.google.com/search?hl=en&q=%2 ... gle+Search

Wäre vielleicht trotzdem ganz gut das Script zu sehen und was es macht.