Hallo und Danke für die einzig Sinvolle Antwort :)
Berko schrieb:
Ich "hatte" einen 9.3 Server der wie ich heute festellen musste nicht mehr mir gehorcht sindern sonst wem.
Sobald eine Internetverbindung besteht funkt mein Server eine bestimmte IP(202.150.130.28) via ssh an und meine komplette Bandbreite ist voll belegt (datenübertragung) alle user auf der Maschine sind gelöscht und das root pw wurde geändert.
Auf dem Webserver wurde eine Verzeichnis angelegt "ganzwirrezeichenmit256zeichen" .. sieht so aus "dsfglkwej5zt0249gjaeobinoeijz4095z4hgqnjrewu4zh" in diesem verzeichnis befinden sich einige php dateien und einige html dateien. der inhalt dieser datein lässt auf garnichst schliessen. Was mich nun wundert ist welche daten übertragen werden und wohin.
Die letzte Frage ist leicht zu beantworten: Die Verbindung geht nach Bandung, Java - nicht die Programmierpsrache, sondern die Insel.
Ich sehe mal in meine Glaskugel: Hast du möglicherweise PHP laufen, vielleicht sogar ein CMS wie Joomla oder Mambo? Es gab da gerade in der letzten Zeit einige Sicherheitslücken. Falls es eine dieser Lücken war, bleiben Spuren in den Apache-Logfiles zurück. Such mal nach Stellen, an denen Daten nach /tmp geschrieben wurden.
Wenn du willst, schick mir mal direkt per Mail die html-und PHP Dateien, die da abgelegt worden sind, evtl. auch Logfiles. Wir hatten neulich so einen Fall hier, vielleicht erkenne ich was.
Klar ist, dass die Kiste kompromittiert ist und neu aufgesetzt werden muss; wahrscheinlich arbeitet sie jetzt als Spamschleuder, aber es ist natürlich auch wichtig, die Ursache zu erkennen und beim Neueinrichten die Lücke zu schließen.
Ein typischer Hinweis auf das oben angedeutete Szenario ist übrigens eine extrem hohe Last durch Perl-Prozesse (da laufen Skripte für Spam und DDos).
Jürgen
Ich habe jetzt erstmal wieder zugriff zu meinem Server. Es wurde ein User Namens underc0vha eingerichtet. Was jetzt genau an schaden angerichtet wurde kann ich nicht einsehen da die logfiles so groß sind und im Sekundentakt einträge drinn stehen, da muss ich erstmal durcharbeiten Was ich allerdings feststellen konnte das der Server von alleine keine Verbindungen aufbauen will, er wartet also auf ein go von aussen. Der Hack war am 09.10.06 gegen 23 Uhr. Bemerkt habe ich ihn 10.10 gegen 3 Uhr morgens. Also war nicht allzu lang. Ja ich habe PHP laufen und ich habe ein CMS System, aber nicht Joomla und auch nicht Mambo. Gruß Berko