Hiho! Sascha Teifke wrote:
Meiner ist auch schonmal gehackt worden ... kommt vor ;-)
das tröstet etwas :-))
Mein erster Gedanke war, sofort alles "platt" und neu machen! Aber muß das wirklich sein?
Nein, ... solange wirklich nur die index.* Seiten modifziert wurden ...
Hmm .. ich hab mal mit find alle Dateien gesucht, die am fraglichen Tag verändert wurden und da habe ich nur diese index.* Files gefunden. Aber das heisst jetzt bestimmt noch gar nix, oder??
[...]
Ist PHP installiert?
Jup, in der Version 4.2.1
Ist der Safe-Mode aktiviert?
Nein. da gab es ein paar Punkte, die mich den wieder deaktivieren ließen ... weiß jetzt nicht mehr genau, was das war. Upload? MaxUploadSize? UploadPath? Irgendwas in der Richtung glaub ich ...
Ist vielleicht ein Perl Script falsch konfiguriert?
Auf keiner der Sites wird Perl überhaupt genutzt - ähm ... fast. Es gibt vom phpmyadmin ein converterscript. Das liegt bei einem von uns rum. Kann aber nicht auf Anhieb einschätzen, was das macht. Vielleicht jemand von euch? while(<>){ s/\$cfg(\w+)/\$cfg\[\'$1\'\]/g; print; }
Welche Version hat der SSH-Server?
Ähmmm ... wie bekomm ich das raus? In der man-page steht etwas von 25.Sept.'99, aber das glaub ich nicht so recht ...
Welche anderen Dienste laufen auf dem Rechner? Schonmal einene Portscan auf Deiner Maschine gemacht?
21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 80/tcp open http 110/tcp open pop3 113/tcp open auth 3306/tcp open mysql 7070/tcp open realserver 8009/tcp open ajp13 9090/tcp open zeus-admin Bis auf den 113/Auth kann ich auch alles zuordnen ...
Wäre dies nicht der geeignete Zeitpunkt um ein Update auf eine aktuelle Version zu machen? Sicherlich, wenn dieses 7.1er Release ordenlich gepflegt ist muss es ja nicht sein, dass die Versionen der einzelnen Applikationen "löchrig" sind, aber gerade Apache hat schon einige sicherheitsrelevante Updates erfahren seit 1.3.24 ( http://www.apacheweek.com/features/security-13 ).
Hmmm ... also, der totale Susefreak bin ich leider noch nicht und hab da ein paar Bedenken, dass das alles so glatt läuft. Ich hab zB qmail und vpopmail installiert und ich glaub unter Suse 8.x laufen die schon so ohne weiteres nicht mehr ... Will mir da, wenn es geht, nicht unbedingt selbst n Bein stellen :-/ Aber den Apache mal neu einzubinden wäre vermutlich wirklich n gute Idee - so oder so ;-) Und n neueres PHP kann sicher auch nicht schaden ;-)
Wenn das vielleicht im moment gerade schlecht ist, dann könntest Du mit chkrootkit überprüfen ob ein bekanntes Rootkit installiert ist ( http://www.chkrootkit.org ). Ralf Spenneberg hat einen sehr guten Artikel in seinem Buch "Intrusion Detection für Linux Server" geschrieben ( http://www.spenneberg.com/public/IDS-Book/chapter16.pdf )
Hey, das ist sehr interessant!! Guter Tip! Hab ein paar Dinge gleich mal ausgetestet. Ein Chrootkit konnte nicht gefunden werden. Aber: Nicht finden heißt ja leider nicht dass keins da ist ... Hab ich extra vom anderen SuSE kopiert ... Also, was weiß ich nun alles? - chrootkit findet keine Rootkits - perlscripte sind bis auf eins keine online - die index-dateien sind die einzigen, die zu dieser fraglichen Uhrzeit verändert wurden - über rpm hab ich keine Veränderungen feststellen können - die Prozesse, die liefen und die, die laufen sollten, stimmten auch alle - Kernelmeldungen gab es keine - in den logfiles /var/log/ konnte ich nichts Ungewöhnliches entdecken - ich habe sämtliche apache-logs nach Einträgen zu dieser Zeit durchsucht aber auch da nichts entdecken können Sieht eigentlich alles ganz gut aus ... aber: alle index-files wurden verändert! Und nun? Ach! Und noch was! Sollte eigentlich n eigener Thrad werden, aber bin noch nicht dazu gekommen. Vielleicht ist es ja trotzdem auch an dieser Stelle wichtig: Der Rechner schmiert manchmal komplett weg!! Kein Dienst ist dann mehr erreichbar - bis auf den Ping! Der lebt noch! Aber sonst sshd, httpd, mysqld, qmaild, ... alles weg. Da hilft dann nur noch der Anruf im Rechenzentrum und ein Reset per Button. Hat jemand ne Idee dazu? Viele Grüße Tol