Hallo
wünsche euch erstmal einen wunderschönen (erholsamen) Nachmittag, den ich momentan leider nicht genießen kann :(
Habe folgendes Problem: vor zwei Tagen wurden von meinem Server DoS-Attacken losgeschickt... habe soweit alles gesichert, rkhunter durchlaufen lassen, scripte überprüft und verzeichnisse gecheckt...
nun ist mir dabei im verzeichnis /tmp folgendes aufgefallen... dateien von einem benutzer "30" (der irgendwie gar nicht existiert)
die dateien lauten wie folgt:
xk.tgz
aaa.tgz
mech.tgz
ircstealth.tgz
die dateien gibts hier im anhang (da waren noch ein paar komische vbuploadXXXX dabei)
http://www.file-upload.net/download-583213/tmp.rar.html
habe aber selber in den letzten tagen nichts gemacht also gehe ich davon aus dass dies die "bösen" dateien sind, aber nun meine fragen
was richten die an? aber woher kommen die dateien?
habe schon gegoogelt, aber außer dass es was mit SSH-scanning zu tun hat?
root-zugang ist bei mir auf dem server erlaubt, er steht ja auch in einem rechenzentrum, also wäre das quatsch wenn ich den root zugang unterbinde oder?
freue mich auf eure antworten
danke
ausgehende DoS-angriffe / komische .tgz-dateien
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: ausgehende DoS-angriffe / komische .tgz-dateien
Der Benutzer mit der UID 30 ist bspw. in SuSE Linux wwwrun, also der Benutzer, unter dem der Apache httpd ausgeführt wird. Das lässt darauf schließen, dass der Angreifer über ein unsicheres Perl/PHP/$Whatever-Skript auf dein System gekommen ist.
Auf jeden Fall solltest du jetzt deine Nutzdaten und wenn möglich ein Image des kompromittierten Systems sichern, deine Skripte auf Lücken überprüfen und anschließend das System neu aufsetzen.
Bezüglich SSH und Login als root benutzt du bitte die Suchfunktion.
Auf jeden Fall solltest du jetzt deine Nutzdaten und wenn möglich ein Image des kompromittierten Systems sichern, deine Skripte auf Lücken überprüfen und anschließend das System neu aufsetzen.
Bezüglich SSH und Login als root benutzt du bitte die Suchfunktion.
-
Anonymous
Re: ausgehende DoS-angriffe / komische .tgz-dateien
ok, danke soweit!
habe gerade ein paar log-dateien durchgeschaut und da sind folgende komische einträge zu finden:
aber was mich am meisten stutzig macht:
was hat dies zu bedeuten?
habe gerade ein paar log-dateien durchgeschaut und da sind folgende komische einträge zu finden:
Code: Select all
[Fri Dec 28 04:28:25 2007] [notice] Apache/2.0.50 (Linux/SUSE) configured -- resuming normal operations
[Fri Dec 28 04:28:25 2007] [warn] long lost child came home! (pid 12015)
[Sat Dec 29 04:17:19 2007] [notice] Graceful restart requested, doing restart
[Sat Dec 29 04:17:19 2007] [error] VirtualHost xx.xx.xx.xx:80 -- mixing * ports and non-* ports with a NameVirtualHost address is not supported, proceeding with undefined resultsCode: Select all
sh: /srv/www/htdocs/empty/cd: Permission denied-
flo
- Posts: 2223
- Joined: 2002-07-28 13:02
- Location: Berlin
Re: ausgehende DoS-angriffe / komische .tgz-dateien
Roger Wilco wrote:Auf jeden Fall solltest du jetzt deine Nutzdaten und wenn möglich ein Image des kompromittierten Systems sichern, deine Skripte auf Lücken überprüfen und anschließend das System neu aufsetzen.