Hallo !

Auf meinem Root Server Linux SuSe 9.0 hat sich wohl ein Wurm eingenistet.

ich habe einmal auf meinen Server gesehen, und dabei ist mir folgender
Prozess aufgefallen

/usr/local/sbin/httpd - spy

Dieses deutet auf folgendes hin.

http://cert.uni-stuttgart.de/archive/bugtraq/2004/12/msg00417.html

Soweit sogut.

Nur wie bekomme ich den Wurm entfernt ?

server neu installieren lassen und dich in die materie einarbeiten!

Nur wie bekomme ich den Wurm entfernt ?
Server neu aufsetzen. Alternativ Apache beenden, alle Prozesse des Wurms beenden, Daten sichern und Server neu aufsetzen.

Ich dachte das könnte man verhindern, weil das bei meinem Anbieter 29€ kostet :eek:

Ich find auch nichts, das angegebene Verzeichnis ist leer.

Hab da jetzt schon den 3ten Virenscanner drüber laufen, die finden aber alle nix.

Was sagen chkrootkit und rkhunter?

Hast du mal nen Link ?

Hab clamav usw mal Probiert gehabt.


#Edit:


Schon gut habs!

Was sagen chkrootkit und rkhunter?

Alles ok,
sagen chkrootkit und rkhunter


Ich hab mal den 2er Apache ausgemacht und nen 1.3er an, und der Wurm rührt sich bisher nicht mal abwarten was passiert.

Nachem ich dachte ich hätte den Virus umgangen, sehe ich dass der Virus seit ca. 4 Uhr die Nacht wieder Aktiv ist Heise meint dazu :

http://www.heise.de/newsticker/meldung/54623



Das zur Info

Hast du den 'Tipp' von Heise mal versucht, das Problem vorerst einzudämmen?

Logisch :)

Sitz' grad mit nem Kaffee vor der Konsole und schau ob sich was tut !

Werde dann Bescheid geben, wenn ich mehr weiß.

Nun der Heise Tipp war wohl die Rettung.

Der Virus ist nun inaktiv.

Ich habe die Webserver beendet.

die php.ini editiert

rebootet

alle Server wieder gestartet.


Seitdem ist alles ruhig *hurra*

Gut, jetzt kannst du weitere Schritte einleiten.