Mailinglisten-Archive |
Hallo Harald, Henning Heil schrieb: > ++++ ANGEL Harald wrote on 22.01.2007 17:26 ++++ > >> Die Datei hat nach dem ändern den User www-data, und wenn ich die Zeile rauslösche ist sie nach 5min wieder drin :( >> >> > klingt irgendwie nach verstecktem code, hast Du mal alle Verzeichnisse > nach fremdem Zeugs durchsucht? Ich habe mal das Verzeichnis "..." avon au > (anstatt "..") auf einem Server entdeckt, garnicht leicht zu sehen. > wenn es ein Root-server ist, könnte es auch noch ein RootKit sein. Ich gehe mal davon aus, dass Du ein debian als OS hast. debian hat schon ein paar tools onboard mit denen Du mal checken solltest, ob sich da ein RootKit versteckt hält: z.Bsp. mit rkhunter und chrootkit Pass aber auf, denn es können teilweise auch False Positive mit angezeigt werden. Hast du irgendeinen Scanner zur Hand mit welchem Du mal alles abklopfen kannst? > Ansonsten erstmal fertige Tools updaten, falls Du welche verwendest. Das > ist aber wirklich insgesamt keine sehr angenehme Sache, die Du da vor > Dir hast. > > Kann man in den log-files nicht sehen, woher der Spass kommt? Hast Du > einen managed server oder n rootie? Linux forensics ist aber eine > Wissenschaft für sich na ganz so stressig ist das nicht...abber ganz so tribial widerum auch nicht. Am besten das Ding komplett Platt machen und neu aufsetzen. Und vorsichtshalber gleich ein gutes IDS mit aufsetzen. > und wenn Du jemanden findest, der das gut kann - > schick mir die Adresse ;-). > > VG, > > Gruß Niels > Henning > P.S.: Das ist kein Hacker, sondern wenn ein Cracker. SCNR
php::bar PHP Wiki - Listenarchive