Hi zusammen,
habe hier im Büro an einer Standleitung einen Rechner hängen, der nur zum Testen von Websites benutzt wird, System ist ein "klassisches" SuSE 7.3.
Beim "ps axu" letzte Woche ist mir aufgefallen, daß ein Prozeß "./psybnc" im Speicher hing, der anscheinend Subprozeß des Apachen war.
Beim Suchen nach dem Programm habe ich das im Ordner /tmp/psybnc/ gefunden. ;-)
Meiner Meinung nach ist das Ding über HTTP-Upload installiert worden, PHP-Version ist 4.0.6.
Grüße,
flo.
psybnc
-
kase
- Posts: 1031
- Joined: 2002-10-14 22:56
Re: psybnc
krass, irgendwie witzig...
Und da es ja scheinbar keinen Schaden gab...
Und da es ja scheinbar keinen Schaden gab...
-
flo
- Posts: 2223
- Joined: 2002-07-28 13:02
- Location: Berlin
Re: psybnc
nee, Schaden war keiner da, außerdem ist unsere Standleitung ja inzwischen bloß noch eine 128k-Leitung, da macht das Bouncen anscheinend auch keinen Spaß. - Derjenige hat das Teil auch bloß installiert und danach eine Stunde benutzt, danach war nichts mehr.
Es ist leider nur möglich, mit einer anderen Version dieses Psybnc DoS-Attacks durchzuführen, deshalb trotzdem auf der Hut bleiben, gerade wenn man sich drauf verläßt daß "das Zeug shcon läuft", kann so etwas immer passieren ... Ich hab da auch geschlampt, weil der Rechner nicht wichtig war. ;-)
Grüße,
flo.
Es ist leider nur möglich, mit einer anderen Version dieses Psybnc DoS-Attacks durchzuführen, deshalb trotzdem auf der Hut bleiben, gerade wenn man sich drauf verläßt daß "das Zeug shcon läuft", kann so etwas immer passieren ... Ich hab da auch geschlampt, weil der Rechner nicht wichtig war. ;-)
Grüße,
flo.
-
rolfxxl
- Posts: 21
- Joined: 2002-12-01 20:12
plöp
Ja, das is alels realtiv logisch.. psybnc als httpd user erstellt. Wrid desöfteren von leuten gemacht, als Folge eines "Einbruchs" in deinen server via deinen webserver. Das muss nicht direkt an eiener sicherheitslücke deines webservers liegen, sondern kann auch mit einer Komponente zusammenhängen, die mit deinem Webserver zusammenarbeitet wie z.b. ein "fehlerhaftes" php script, openssl usw usw..
Ich würde das ganze nicht so locker flockisch nehmen wie du, da auf einem suse 7.3 auch die möglichkeit besteht mit lokalem httpd user zugriff z.b. root rechte zu erlangen. Hattest glück, dass derjenige, der psybnc installiert hatte, keine methode kannte oder es nicht draufangelegt hat.
Also, schleunigst nochmal alles überprüfen und mal deine httpd logs files nach komisches requests durchgucken.
Mfg
RolfXXL
P.S. zu deiner Vermutung des HTTP-Uploads: das reicht nicht ganz. Denn der psybnc musste jan och ausgeführt werdne, udn dazu ist eine lücke nötig, die remote command exectuion erlaubt. also such mal leiber nochmal weiter.
Ich würde das ganze nicht so locker flockisch nehmen wie du, da auf einem suse 7.3 auch die möglichkeit besteht mit lokalem httpd user zugriff z.b. root rechte zu erlangen. Hattest glück, dass derjenige, der psybnc installiert hatte, keine methode kannte oder es nicht draufangelegt hat.
Also, schleunigst nochmal alles überprüfen und mal deine httpd logs files nach komisches requests durchgucken.
Mfg
RolfXXL
P.S. zu deiner Vermutung des HTTP-Uploads: das reicht nicht ganz. Denn der psybnc musste jan och ausgeführt werdne, udn dazu ist eine lücke nötig, die remote command exectuion erlaubt. also such mal leiber nochmal weiter.
-
flo
- Posts: 2223
- Joined: 2002-07-28 13:02
- Location: Berlin
Re: psybnc
Rolf, ich halt da lieber den Ball flach, der Rechner ist für Platt machen vorgesehen, und wenn er mir wichtig wäre, liefe da schon der 1.3.27 mit PHP 4.3 drauf.
Das PHP 4.0.6 von SuSE 7.3 kann es gewesen sein, aber da war noch was anderes - ich hätte eigentlich Schellen dafür verdient - Safe Mode Off. ;-)
Mach hoch die Tür, das Tor mach weit ...
Trotzdem danke für die Tipps.
Grüße,
flo.
P.S.: Was demnächst auf den Rechner draufkommt wird ein Debian mit GR und einigen SSL-Hosts, der muß also eh sterben ...
Das PHP 4.0.6 von SuSE 7.3 kann es gewesen sein, aber da war noch was anderes - ich hätte eigentlich Schellen dafür verdient - Safe Mode Off. ;-)
Mach hoch die Tür, das Tor mach weit ...
Trotzdem danke für die Tipps.
Grüße,
flo.
P.S.: Was demnächst auf den Rechner draufkommt wird ein Debian mit GR und einigen SSL-Hosts, der muß also eh sterben ...