Am 01.03.2013 22:09, schrieb Lentes, Bernd:
Hi,
ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar
Die habe ich noch nie gesehen, und der o.g. Ordner existiert auch nicht mehr ! Weiss einer von Euch was das ist ? Gleichzeitig hat dieser Prozess eine offene Verbindung auf eine IP in Luxemburg, auf der ca. alle 90 Sekunden kleine Datenpakete hin und her fliegen, in denen entweder "PING" oder "PONG" drin steht, je nach Richtung der Pakete. Die Verbindung geht auch auf einen ungewöhnlichen Port: 13122.
Das gefällt mir alles gar nicht ...
Hallo Bernd, starte Tomcat neu und schau, ob die o.g. Java-Datei in irgendeiner Form wieder geladen wird. Nach dem was ich so gegooglet habe, gefällt mir das auch nicht so wirklich, wenn der Dateiname "cataline.jar" so stimmt. Es gibt noch eine andere Java-Datei. Sie nennt sich "catalina.jar" und ist in Tomcat enthalten. Das einzige Software-Produkt, in der die o.g. Java-Datei "cataline.jar" ausgeliefert wird, ist Adobe Version Cue 1.0/1.0.1. Kann es vielleicht sein, dass diese Java-Datei dem Tomcat irgendwann mal untergeschoben wurde? Nach weiterem googlen ist mir außerdem aufgefallen, dass im Zusammenhang von Adobe Version Cue mehrere Local Root Exploits existieren. http://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-5286/ve... http://www.exploit-db.com/exploits/1185/ http://www.exploit-db.com/exploits/1186/ HTH, -- Gruß Sebastian - openSUSE Member (Freespacer) Webseite/Blog: http://www.sebastian-siebert.de Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/openSUSE:Mailinglisten_Netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org