Hallo, Am Mon, 04 Mar 2013, Lentes, Bernd schrieb:
Andreas Ernst schrieb:
Hast Du denn mal geprüft welche Anwendungen auf dem Tomcat laufen und welche Ports er sonst noch offen hat (8080, JMX)?
netstat -anpe|grep 107 [...] ==== tcp 0 0 :::8009 :::* LISTEN 107 9107 3829/java tcp 0 0 :::8080 :::* LISTEN 107 9043 3829/java ==== [..] ============================================== tcp 0 0 146.107.xxx.xxx:59951 94.242.251.57:13122 ESTABLISHED 107 3000950 32417/java ============================================== [..]
Die eingerahmte ist diejenige welche.
Und die "all" "all"??? in '===='??? IMO: Kiste sofort vom Netz, forensisches Image für weitere Analysen in ner VM ziehen (gibt ne Sonderversion von dd dafür, ansonsten einfach per dd) und die Kiste von Grund auf[0] neu aufsetzen. Deine Kiste wird vermutlich als CnC o.ä. mißbraucht. Und beim Neuaufsetzen darauf achten, daß das ganze Javageraffel nur auf den richtigen IPs lauscht und nur die richtigen IPs reinläßt, oder gleich nur in ner VM läuft und penibel abgeschottet wird. Fragt ggfs. jemanden, der sich damit auskennt (nicht ich, aber ich kenn glaub welche vom lesen ;) Dein Kollege Werner sollte die gleichen Verdächtigen kennen und benennen können ;) BTW: bzgl. Java/Flash/IE usw. sind tägliche Update-Checks Pflicht, besser noch öfter. Es heißt nicht umsonst "*Zero*-day-exploit"! -dnh [0] d.h. einmal 'dd if=/dev/zero of=/dev/sdX bs=8M' über alle Platten laufen lassen ... Von nem OS von CD wohlgemerkt! (Knoppix, Grml, etc., SuSE-Inst-DVD tut's auch). --
Welches ist die gescheiteste Methode, die führende Null wegzubekommen? -- N.K Revolution bzw. Umsturz. Oder du wartest bis zur naechsten Wahl. -- J. P. Meier Nur die Rrrrrevolution hilft! Wahl ist maximal ein Vorzeichenwechsel. -- W.Flamme Was meinst Du, woher Begriffe wie "rote Null" und "schwarze Null" kommen? -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org