Moin !

Ich brauche etwas Hilfe beim analysieren wo das Sicherheitsloch ist. Ich betreibe ein Webserver unter 10.04 mit ISPCP 1.0.7. Momentan habe ich schlicht die Webanwendung in Blick, aber ich finde keine "typischen" Spuren in den Logs.

Was mir bis jetzt aufgefallen ist, ist die Berechtigung der Standardbefehle wie ls, mv usw. 112:114 (Letzteres ist die Gruppe postdrop). Das verwirrt mich gerade etwas

Der Server wurde mit cb Rootkit, SHV4 Rootkit, SHV5 Rootkit ausgestattet.

Könnt ihr mir dabei helfen, herauszufinden woher der Schuss kam ?

Gruß
Exe