Lin728_
19.05.12, 16:47
Hallo,
Habe heute auf dem Rechner eines Kunden auffällige cron-meldungen entdeckt:
May 15 20:43:01 srv0062 /usr/sbin/cron[11375]: (root) CMD (/root/.pds/update >/dev/null 2>&1)
Dann einen Blick in dieses ominöse Verzeichnis geworfen:
srv0062:~/pds_save # ls
1 autorun ddos f http mech.levels mech.set pdflush run slot12 slot3 slot6 start.sh stealth stream
Wenn ich mir die getarnten shellscripte ansehe, handelt es sich dabei um ein typisches rootkit - zumindest wird periodisch code extern nachgeladen sowie kommandos ausgeführt.
Nur find ich online keinerlei Informationen dazu :(
Habt ihr eine Idee um welches rootkit es sich hierbei handelt, und durch welches Einfallstor damit üblicherweise eingebrochen wird?
Danke im Voraus
Habe heute auf dem Rechner eines Kunden auffällige cron-meldungen entdeckt:
May 15 20:43:01 srv0062 /usr/sbin/cron[11375]: (root) CMD (/root/.pds/update >/dev/null 2>&1)
Dann einen Blick in dieses ominöse Verzeichnis geworfen:
srv0062:~/pds_save # ls
1 autorun ddos f http mech.levels mech.set pdflush run slot12 slot3 slot6 start.sh stealth stream
Wenn ich mir die getarnten shellscripte ansehe, handelt es sich dabei um ein typisches rootkit - zumindest wird periodisch code extern nachgeladen sowie kommandos ausgeführt.
Nur find ich online keinerlei Informationen dazu :(
Habt ihr eine Idee um welches rootkit es sich hierbei handelt, und durch welches Einfallstor damit üblicherweise eingebrochen wird?
Danke im Voraus