Hallo liebe Luxer,

ich habe in Problem mit meiner Susi in der Version 11.3
Sie startet DDos Attacken.

Bei den Prozessen habe ich vier Perl Prozesse gefunden, die die CPU auslasten.
Bisher habe ich herausgefunden, dass es sich um eine Datei unter
/etc/sbin/bjork handelt
Die Prozesse sind beendet,jedoch konnte ich das Skript und vorallem wie dieses auf den Rechner gekommen ist,noch nicht finden.

Da meine Linux Kentnisse eher bescheiden sind, möchte ich hier um Denkanstöße zur Problemlösung anfragen und vorallem, wie ich das in Zukunft verhindern kann.

Der Rechner ist als Webserver mit allen dazugehörigen Diensten im Netz.

Ich bedanke mich schonmal im vorraus.

MFG crash_lux

Da meine Linux Kentnisse eher bescheiden sind, möchte ich hier um Denkanstöße zur Problemlösung anfragen und vorallem, wie ich das in Zukunft verhindern kann.

Du beantwortest Dir die Frage selbst: Du solltest Deine Linux-Kenntnisse vertiefen.

Und vor allem diese Kiste schleunigst vom Netz nehmen. Wenn ein System erfolgreich angegriffen wurde, kann Dir niemand garantieren, dass nicht z.B. noch andere Bereiche betroffen sind, nachdem Du die sichtbaren Symptome bereinigt hast. Da ist Neuaufsetzen angesagt (bzw. in Deinem Fall eine Pause, die Du zum Lernen nutzen solltest).

Du beantwortest Dir die Frage selbst: Du solltest Deine Linux-Kenntnisse vertiefen.

Und vor allem diese Kiste schleunigst vom Netz nehmen. Wenn ein System erfolgreich angegriffen wurde, kann Dir niemand garantieren, dass nicht z.B. noch andere Bereiche betroffen sind, nachdem Du die sichtbaren Symptome bereinigt hast. Da ist Neuaufsetzen angesagt (bzw. in Deinem Fall eine Pause, die Du zum Lernen nutzen solltest).

Danke für die Antwort. Sicherlich ist ein Neuaufsetzen ratsam.
Doch ohne zu Wissen wo der Fehler liegt, macht es ja keinen Sinn.
Daher dachte ich, dass ich hier vielleicht Lesestoff bekommen könnte :)

greets

Daher dachte ich, dass ich hier vielleicht Lesestoff bekommen könnte :)


naja, die dokumentation von jedem dienst, den du betreibst ist ein heisser tipp.

laufen auf deinem webserver php-skripte und ist der webdesigner kein profi?
wenn ja, dann ist dort der fehler zu suchen.

hth,
//richard

Hi,

es gibt div. Möglichkeiten seinen Server zu härten, das Problem bei dir ist aber, des es nun einen Schritt zuspät dafür ist, tue dir also den Gefallen und verbrenne das was aktuell drauf ist und setze den neu auf.

Dabei kannst du dann auch direkt ein paar Verteidigungslinien einziehen, folgende solltest du mindestens haben:

1. Checksummen, sorge dafür das du welche hast, nur so kannst du prüfen, ob ggf. noch mehr modifiziert worden ist, vor allem bin und sbin sind hier intressant bzw. wichtig
2. Befehls-Log, sorge dafür das alle Kommandos gelogt werden, nur so kannst du nach vollziehen, was beim Einbruch so getrieben worden ist
3. Loge wenn möglich auf einen zweiten Rechner mit, es wird so deutlich schwere Spuren zu verwischen
4. Partitionen, erhöhen die Sicherheit ungemein
5. Nutze chroot, oder noch besser nutze Virtualisierung und betreibe jeden Dienst in einem eigenen Linux (lies das (http://www.little-idiot.de/ChrootEntkommen.pdf) und entscheider selber, ob bzw. was chroot dir bringt)
6. Mache Snapshoots, um ggf. schnell auf einen sauberen Zustand zu kommen (ACHTUNG sorge dafür das du deinen Snapshoots trauen kannst)

Details dazu => Inet
Eine guter Anfang ist hier http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html, das meiste kann relativ simpel auch auf andere Distris also auch suse übertragen werden.