C
chrigu99
Grünschnabel
Guten Morgen
Nachdem ich bemerkt habe, dass auf meinem Server eingebrochen wurde und entsprechende Scripts liefen, habe ich begonnen, diese Probleme zu beheben. Nun habe ich auch einen Rootkit-Check hinter mir. Einzig eines macht mir Sorgen:
Unter dem User apache läuft immer wieder ein Prozess bash.
Der Prozess:
apache 7163 0.0 0.0 1980 876 ? Ss 10:22 0:00 bash
Auch wenn ich den Prozess mit kill -9 <pid> kille, ist er nach einer Weile wieder da.
Ist das normal oder etwas, um sich Sorgen zu machen?
Google hat mir leider nichts verwertbares ausgespuckt.
Infos zum Server: CentOS 5.3
httpd -v
Server version: Apache/2.2.3
Server built: May 28 2009 12:49:04
Installed Packages
httpd.x86_64 2.2.3-22.el5.centos.1 installed
Grüsse, Chris
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
So, ich hab den Übeltäter gefunden. Der User apache hatte einen Cronjob auf ein Script im versteckten Ordner /tmp/.dev
Der Inhalt des Ordners:
ls -la
total 924
drwxr-xr-x 3 apache apache 4096 Aug 9 10:32 .
drwxrwxrwt 5 root root 4096 Aug 9 10:29 ..
-rw-r--r-- 1 apache apache 79 Aug 9 10:10 <ipadresse1>.user
-rw-r--r-- 1 apache apache 165 Aug 9 10:10 <ipadresse2>.user
-rw-r--r-- 1 apache apache 162 Aug 9 10:10 91.184.2.214.user
-rw-r--r-- 1 apache apache 79 Aug 9 10:10 91.184.2.215.user
-rw-r--r-- 1 apache apache 0 Aug 9 10:10 Arhanghel.seen
-rwxr-xr-x 1 apache apache 317 Oct 30 2006 autorun
-rwxr-xr-x 1 apache apache 492135 Oct 30 2006 bash
-rw-r--r-- 1 apache apache 145 Aug 9 10:30 Ch|na.seen
-rw-r--r-- 1 apache apache 43 Aug 5 09:21 cron.d
-rw-r--r-- 1 apache apache 39077 Aug 9 09:39 Fuller.seen
-rw-r--r-- 1 apache apache 0 Aug 9 10:10 Hanssen.seen
-rw-r--r-- 1 apache apache 9279 Aug 9 09:39 Hartmann.seen
-rwxr-xr-x 1 apache apache 11422 Mar 6 03:02 inst
-rwxr-xr-x 1 apache apache 120 Aug 9 10:28 LinkEvents
-rw-r--r-- 1 apache apache 10 Aug 5 09:21 mech.dir
-rwxr-xr-x 1 apache apache 22882 Oct 30 2006 m.help
-rw-r--r-- 1 apache apache 1043 Aug 9 10:10 m.lev
-rw------- 1 apache apache 5 Aug 9 10:27 m.pid
-rw-r--r-- 1 apache apache 1509 Aug 9 10:10 m.ses
-rw-r--r-- 1 apache apache 4385 Aug 5 09:21 m.set
-rwxr-xr-x 1 apache apache 167964 Mar 16 2001 pico
-rw-r--r-- 1 apache apache 84479 Feb 14 20:40 pico.tgz
drwxr-xr-x 2 apache apache 4096 Sep 27 2007 r
-rwxr-xr-x 1 apache apache 29 Oct 30 2006 run
-rw-r--r-- 1 apache apache 0 Aug 9 10:10 ____.seen
-rwxr-xr-x 1 apache apache 815 Oct 30 2006 start
-rwxr--r-- 1 apache apache 157 Aug 5 09:21 update
-rw-r--r-- 1 apache apache 0 Aug 9 09:39 Vandenberg.seen
-rw-r--r-- 1 apache apache 28 Aug 5 09:21 vhosts
<ipadresse1> und <ipadresse2> waren meine IPs, die hab ich jetzt mal entfernt.
Sagt der Inhalt irgend jemand was?
Nachdem ich bemerkt habe, dass auf meinem Server eingebrochen wurde und entsprechende Scripts liefen, habe ich begonnen, diese Probleme zu beheben. Nun habe ich auch einen Rootkit-Check hinter mir. Einzig eines macht mir Sorgen:
Unter dem User apache läuft immer wieder ein Prozess bash.
Der Prozess:
apache 7163 0.0 0.0 1980 876 ? Ss 10:22 0:00 bash
Auch wenn ich den Prozess mit kill -9 <pid> kille, ist er nach einer Weile wieder da.
Ist das normal oder etwas, um sich Sorgen zu machen?
Google hat mir leider nichts verwertbares ausgespuckt.
Infos zum Server: CentOS 5.3
httpd -v
Server version: Apache/2.2.3
Server built: May 28 2009 12:49:04
Installed Packages
httpd.x86_64 2.2.3-22.el5.centos.1 installed
Grüsse, Chris
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
So, ich hab den Übeltäter gefunden. Der User apache hatte einen Cronjob auf ein Script im versteckten Ordner /tmp/.dev
Der Inhalt des Ordners:
ls -la
total 924
drwxr-xr-x 3 apache apache 4096 Aug 9 10:32 .
drwxrwxrwt 5 root root 4096 Aug 9 10:29 ..
-rw-r--r-- 1 apache apache 79 Aug 9 10:10 <ipadresse1>.user
-rw-r--r-- 1 apache apache 165 Aug 9 10:10 <ipadresse2>.user
-rw-r--r-- 1 apache apache 162 Aug 9 10:10 91.184.2.214.user
-rw-r--r-- 1 apache apache 79 Aug 9 10:10 91.184.2.215.user
-rw-r--r-- 1 apache apache 0 Aug 9 10:10 Arhanghel.seen
-rwxr-xr-x 1 apache apache 317 Oct 30 2006 autorun
-rwxr-xr-x 1 apache apache 492135 Oct 30 2006 bash
-rw-r--r-- 1 apache apache 145 Aug 9 10:30 Ch|na.seen
-rw-r--r-- 1 apache apache 43 Aug 5 09:21 cron.d
-rw-r--r-- 1 apache apache 39077 Aug 9 09:39 Fuller.seen
-rw-r--r-- 1 apache apache 0 Aug 9 10:10 Hanssen.seen
-rw-r--r-- 1 apache apache 9279 Aug 9 09:39 Hartmann.seen
-rwxr-xr-x 1 apache apache 11422 Mar 6 03:02 inst
-rwxr-xr-x 1 apache apache 120 Aug 9 10:28 LinkEvents
-rw-r--r-- 1 apache apache 10 Aug 5 09:21 mech.dir
-rwxr-xr-x 1 apache apache 22882 Oct 30 2006 m.help
-rw-r--r-- 1 apache apache 1043 Aug 9 10:10 m.lev
-rw------- 1 apache apache 5 Aug 9 10:27 m.pid
-rw-r--r-- 1 apache apache 1509 Aug 9 10:10 m.ses
-rw-r--r-- 1 apache apache 4385 Aug 5 09:21 m.set
-rwxr-xr-x 1 apache apache 167964 Mar 16 2001 pico
-rw-r--r-- 1 apache apache 84479 Feb 14 20:40 pico.tgz
drwxr-xr-x 2 apache apache 4096 Sep 27 2007 r
-rwxr-xr-x 1 apache apache 29 Oct 30 2006 run
-rw-r--r-- 1 apache apache 0 Aug 9 10:10 ____.seen
-rwxr-xr-x 1 apache apache 815 Oct 30 2006 start
-rwxr--r-- 1 apache apache 157 Aug 5 09:21 update
-rw-r--r-- 1 apache apache 0 Aug 9 09:39 Vandenberg.seen
-rw-r--r-- 1 apache apache 28 Aug 5 09:21 vhosts
<ipadresse1> und <ipadresse2> waren meine IPs, die hab ich jetzt mal entfernt.
Sagt der Inhalt irgend jemand was?
Zuletzt bearbeitet: