Am Montag 08 März 2010 13:36:03 schrieb Axel Birndt: Hallo Axel,
Was ist das für ein Service der bei Dir auf Port 1080 angeboten wird??
...
Das habe ich mich auch schon gefragt, was das sein könnte. Wie finde ich das raus?
Du könntest Dir in Deine .profile eine alias-Definition machen:
alias lsof_Ports='sudo lsof -i -n -P'
Der Befehl
sudo lsof -i -n -P
gibt Dir dann aus, welche Prozesse da hören:
lsof -i -n -P COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME mysqld 1214 mysql 10u IPv4 21245020 0t0 TCP *:3306 (LISTEN) sshd 1470 root 3u IPv4 21245398 0t0 TCP *:22 (LISTEN) sshd 1470 root 4u IPv6 21245400 0t0 TCP *:22 (LISTEN) master 1554 root 12u IPv4 21246278 0t0 TCP 127.0.0.1:25 (LISTEN) master 1554 root 13u IPv6 21246280 0t0 TCP [::1]:25 (LISTEN) httpd2-pr 12909 root 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 13904 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14145 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14313 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14397 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) sshd 14415 root 3r IPv4 23624527 0t0 TCP 69.197.162.39:22-
85.127.55.167:49307 (ESTABLISHED) httpd2-pr 14449 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN)
Was ist da auffällig? 85.127.55.167 bin ich.
So siehst Du welchem User das gehört und kannst dann mit lsof/ps/netstat weitersuchen was der so treibt.
Sollte tatsächlich ein feindlicher Prozess auf dem 1080 Port horchen, dann solltest Du dringend den Server nach außen absolut dicht machen und z.B. nur ssh über einen anderen Port zulassen und ansonsten alle Services abschalten.
Beispiel für lsof:
sudo lsof | grep 1961
apache2 1961 www-data cwd DIR 8,1 4096 2 / apache2 1961 www-data rtd DIR 8,1 4096 2 / apache2 1961 www-data txt REG 8,1 395492 1113021 /usr/lib/apache2/mpm-prefork/apache2 apache2 1961 www-data mem REG 8,1 38360 425158 /lib/tls/i686/cmov/libcrypt-2.10.1.so apache2 1961 www-data mem REG 8,1 5464 1113037 /usr/lib/apache2/modules/mod_authz_default.so
So siehst Du was der Prozess alles benutzt und hast (wenn Du dem Befehl lsof noch trauen kannst) eine Übersicht was der Prozess alles benutzt.
Wie schon geschrieben, der Server ist schon mehr oder weniger down, da ein neuer aufgesetzt wird. Ich frage mich nur, was ich falsch gemacht haben kann. Identifizierung nur per keys. Regelmäßige Updates. Bleiben also php-Scripts die ausgenutzt werden lkönnten oder der direkte Login über den Hoster. Das Web-PW beim Hoster hat > 30 zufällige Stellen. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org