Am Samstag Oktober 2 2004 21:11 schrieb Alexander Veit:
Udo Neist schrieb:
Auf einem von mir mitbetreuten Webserver habe ich einen cronjob von 37815 Bytes Größe gefunden, dessen Inhalt sich mir nicht erschliesst. Ich habe den betreffenden Account erstmal gesperrt und um Klärung gebeten. Den vollständigen Code kann man unter ftp://singollo.de/pub/Final2001 ansehen bzw. downloaden.
Wenn ich das richtig interpretiere, passiert ungefähr folgendes:
Das Script schreibt ein 9371 Byte großes, UPF-komprimiertes Binary nach /tmp/qtlbvtpje. Die Datei wird ausgeführt und danach wieder gelöscht.
Falls Du einen Virenscanner hast, könntest Du ihn mal über das Binary (Ausgabe per Umleiting von echo -e -n "\177\..." in Datei) drüber laufen lassen.
Sieht schon irgendwie wurm- oder virusartig aus :)
Gruß, Alex
Danke, das habe ich schon vermutet. 4GB in 5 Minuten... Ich werde das mal austesten. Gruß Udo --
... gibt es da nicht was fertiges ? Gibt's da nicht was von Ratiopharm? Gute Scripte, gute Besserung! -- Dominik Roettsches (auf dclp)