Ralf Schneider wrote:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen?
Die Ablage unter /tmp und /var/tmp deutet darauf hin, dass die Dateien über ein ausnutzbares Verhalten beim Anlegen von temporären Dateien auf den Rechner kamen. Der erste Kandidat dafür ist meistens Apache und unsichere Scripte.
- Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
Greppe mal deine Logs nach den Dateien aus /tmp und schau nach, von welchem User/programm/script die Dateien dort angelegt wurden. Nachdem du den Rechner vom Netz geklemmt hast. (^-^) Danach nimm dir als Regel, das grundsätzlich der Zugriff vom Internet aus nur dann gestattet ist auf eine Resource, wenn er per Regel ausdrücklich erlaubt wurde. Das ist mühselig am Anfang, aber entspannend im Betrieb. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org