Gelesen am Samstag Oktober 2 2004 21:16:
Gut so. Der Server ist IMHO komprimittiert.
Am besten setzt ihr den Server neu auf und spielt die Backups von _VOR_ dem 27. wieder ein.
-dnh
[1] Was man z.B. erkennt, wenn man die ersten Zeichen (das sind oktale Escapesequenzen) mal mit 'echo -e' ausgibt, wenn man unsicher ist, was da alles dabei ist, dann sollte man das evtl. an 'hex' oder 'od' pipen. $ echo -en '\177\105\114\106' | hex 00000000 7F 45 4C 46 .ELF
Der Server wurde vom Provider direkt von Netz genommen, konnte also nicht weiter Daten versenden. Zugriff nur noch über Remote-Console. Ich habe direkt erstmal alle temporären Daten gelöscht, Logfiles gescannt und cronjobs überprüft. Die User mit direkten Shell-Zugang (per ssh) konnte ich erstmal ausschliessen, da ich keine Shell-Scripts entdecken konnte. Mir ist dann aber dieses File aufgefallen. Tja, der User hatte danach erstmal Pech. Da unsere Webserver alle gehosteten Scripte nur mit den Rechten der User ausführt, hatte ich einen Scan nach Files dieses Users ausgelöst. Bis auf seine regulären Dateien auf dem Webspace wurde dann nichts mehr gefunden. Ich hatte u.a. nach manipulierten Zeitstempel suchen lassen. Seit gestern abend ist der Server wieder am Netz, seit vielleicht 15 Minuten ist auch der Account freigeschaltet, aber ohne Shell-Zugang. Der User muss seine Passwörter ändern, ansonsten wird dieser gelöscht. Gibt es irgendeine Möglichkeit bei Linux ab einem gewissen Traffic ein irgendwie gearteten Alarm gesendet zu bekommen? Wir könnten solche Meldungen auch über zwei unabhängige Server weiterleiten. Gruß Udo -- "If a machine couldn't run a free operating system, we got rid of it." -- Richard Stallman (Open Sources, 1999 O'Reilly and Associates)