L
lukewill
Mitglied
Hallo,
ich habe natürlich noch nicht alle entsprechenden Tutorials gelesen, von daher möge man mir etwas Unwissenheit verzeihen. Nun zu meinem Problem:
Ich habe auf meinem Server festgestellt das dort ein Prozess "./a" läuft. Dieser Prozess ist von wwwrun gestartet. Die Datei habe ich auch gefunden liegt im /tmp. Dieses Demon hört auf Port 60666, wenn ich nun auf dem Server ein telnet localhost 60666 machen, bekomme ich einen Shellzugang -ohne Passworteingabe natürlich- als wwwrun und kann freudig in Dateisystem umherschlendern.
Den Prozess habe ich natürlich beendet und die Datei kann ich natürlich auch löschen, mich würde aber viel mehr interessieren wie die Datei da hin gekommen ist und wie dieser Prozess gestartet wird.
Dann stelle ich noch fest, das in den letzten Tagen jemand versucht das rootpasswort bzw. eine passende User/passwort-kombi raus zu bekommen, im log sieht man auf jeden Fall über stunden fehl geschlagene Versuche. Dazu direkt noch ne Frage: Macht es Sinn die ip-adresse zu verfolgen und ggf. dem Provider ne Nachricht zu schicken?
Ein paar technische infos noch.
rootserver bei server4you
kernel 2.4.21
apache 2.0.48
suse 9.0
offene Ports http, pop3, imap, ssh, 10000, 389, 53
Vielen Dank schon mal
L
ich habe natürlich noch nicht alle entsprechenden Tutorials gelesen, von daher möge man mir etwas Unwissenheit verzeihen. Nun zu meinem Problem:
Ich habe auf meinem Server festgestellt das dort ein Prozess "./a" läuft. Dieser Prozess ist von wwwrun gestartet. Die Datei habe ich auch gefunden liegt im /tmp. Dieses Demon hört auf Port 60666, wenn ich nun auf dem Server ein telnet localhost 60666 machen, bekomme ich einen Shellzugang -ohne Passworteingabe natürlich- als wwwrun und kann freudig in Dateisystem umherschlendern.
Den Prozess habe ich natürlich beendet und die Datei kann ich natürlich auch löschen, mich würde aber viel mehr interessieren wie die Datei da hin gekommen ist und wie dieser Prozess gestartet wird.
Dann stelle ich noch fest, das in den letzten Tagen jemand versucht das rootpasswort bzw. eine passende User/passwort-kombi raus zu bekommen, im log sieht man auf jeden Fall über stunden fehl geschlagene Versuche. Dazu direkt noch ne Frage: Macht es Sinn die ip-adresse zu verfolgen und ggf. dem Provider ne Nachricht zu schicken?
Ein paar technische infos noch.
rootserver bei server4you
kernel 2.4.21
apache 2.0.48
suse 9.0
offene Ports http, pop3, imap, ssh, 10000, 389, 53
Vielen Dank schon mal
L