Archiv verlassen und diese Seite im Standarddesign anzeigen : Server hacked ?
Hallo,
mein Server läuft unter Suse 8.1 und ich habe Webmin zur Konfiguration drauf. Als ich heute morgen meine logfiles durchsehen wollte konnte Webmin nicht auf die Logfiles zugreifen. Bin dann über Putty rein, und siehe da.... Das gesamte Verzeichnis var/log ist verschwunden. Seltsamer Fehler oder Hack ?
Hat jemand schonmal ein ähnliches Problem gehabt ?
Grüsse
Ingo
Roger Wilco
09.01.05, 13:24
Überprüfe, welche Prozesse laufen.
Überprüfe, welche Netzwerkverbindungen offen sind.
Falls es dein Provider es anbietet, boote im Rescue-System und untersuche die Festplatte.
Im Zweifelsfall: Setze den Server komplett neu auf.
Hmm, also ein ps -A ergibt folgendes :
PID TTY TIME CMD
1 ? 00:00:11 init
2 ? 00:00:00 keventd
3 ? 00:00:00 ksoftirqd_CPU0
4 ? 00:00:10 kswapd
5 ? 00:00:00 bdflush
6 ? 00:00:00 kupdated
7 ? 00:00:01 kinoded
9 ? 00:00:00 mdrecoveryd
12 ? 00:00:10 kreiserfsd
743 ? 00:00:00 klogd
803 ? 00:00:00 khubd
1219 ? 00:00:54 sshd
1435 ? 00:00:00 atd
1466 ? 00:00:00 cron
1638 ? 00:00:00 login
1639 tty2 00:00:00 mingetty
1640 tty3 00:00:00 mingetty
1641 tty4 00:00:00 mingetty
1642 tty5 00:00:00 mingetty
1643 tty6 00:00:00 mingetty
1726 tty1 00:00:00 bash
14949 ? 00:00:00 safe_mysqld
14980 ? 00:00:03 mysqld-max
14981 ? 00:00:03 mysqld-max
14982 ? 00:00:00 mysqld-max
14983 ? 00:00:00 mysqld-max
7449 ? 00:00:06 xinetd
17220 ? 00:00:00 lvm-mpd
20867 ? 00:00:00 ntpd
106 ? 00:00:29 master
17057 ? 00:00:22 httpd
13321 ? 00:03:25 httpd
13422 ? 00:03:21 httpd
16295 ? 00:00:00 cgi
16326 ? 00:00:00 r0nin
16375 ? 9-09:26:05 perl
10256 ? 00:00:00 qmgr
10598 ? 00:00:00 syslogd
11729 ? 00:00:00 perl
11800 ? 00:00:00 sshd
11802 pts/2 00:00:00 bash
12483 ? 00:00:00 pickup
12511 pts/2 00:00:00 ps
und netstat hat reichlich von diesen einträgen :
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 4 [ ] DGRAM 30305066 /dev/log
unix 2 [ ] DGRAM 30323656
unix 2 [ ] DGRAM 30318319
unix 3 [ ] STREAM CONNECTED 30303844
unix 3 [ ] STREAM CONNECTED 30303843
unix 3 [ ] STREAM CONNECTED 30303842
... usw
Was sagt ihr dazu ?
Irgendjemand ne idee ???
Grüsse
Ingo
16326 ? 00:00:00 r0nin
ui ui ui
http://www.linuxforen.de/forums/archive/index.php/t-163536.html
server vom netz nehmen und neu installieren!
ui ui ui...
sieht so aus als müsse ich den server neu aufsetzen...
jemand infos wie das ding draufkommt ?
Möchte es in Zukunft vermeiden :-)))
Nehme den Server jetzt vom Netz... !!!
Bringt es was sowas anzuzeigen ?
Aussicht auf Erfolg ?
Logs sind alle weg...
Mann mann mann ... was ein Mist.. das bedeutet Arbeit.. .-))
Danke
Ingo
so, habe in tmp 2 scripte gefunden
bot und do_brk
die ganze geschichte scheint mit php zu tun zu haben...
überlege grad ob ich mir die arbeit machen soll das zu analysieren oder ob ich die kiste komplett neu aufsetze.
Grüsse
Ingo
hast du zufällig einen ungepatchten kernel auf dem system?
ja, das habe ich, warum ?
hast du ne idee ?
Grüsse
Ingo
*seufz*
dann bist du selber schuld, man sollte sein system schon auf dem aktuellen stand halten.
http://isec.pl/vulnerabilities/isec-0012-do_brk.txt
Ja, da bin ich wahrscheinlich selber Schuld. :-)
Das ändert jetzt aber auch nix. :-)
Sichere grad wichtige dateien.
Und setze den Server morgen komplett neu auf.
Danke für die Tips
Ingo
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.