"Schadsoftware" auf Virtuellem Server
- Thread starter spider1747
- Start date
interessant wäre für dih vlt noch
http://www.xtc-modified.org/wiki/PHP.ini_Sicherheitsrelevante_Variablen
http://www.xtc-modified.org/wiki/PHP.ini_Sicherheitsrelevante_Variablen
The_Nero
Supporter
Ich verweise mal auf einen sehr guten Vortrag vom heinlein-support.
Im PDF finden sich die klassischen Punkte zur Absicherung.
Im PDF finden sich die klassischen Punkte zur Absicherung.
Tag auch,
ich bin auf diesen Thread gestoszen, weil von hier auf mein Blog verlinkt wurde. Eines wollte ich zum Diskurs beitragen: nur weil `ps` und andere Programme die Informationen aus procfs lesen einem weismachen wollen, der Pfad zu der Executable eines Prozesses laege in /usr/sbin/ oder sonst einem "heiklen" Directory, hat das lange nicht zu bedeuten, dass das wirklich der Fall ist, und dass die entsprechende ausfuehrbare Datei, aus der der Prozess entsprungen ist, jemals dort residiert hat. Linux kennt zwar kein setproctitle(3), man kann dies aber sehr wohl (und auch noch ziemlich einfach) nachbauen, und dann beliebige Strings so in procfs und argv[0] schreiben, dass man davon leicht in die Irre gefuehrt werden kann.
Das ganze hat natuerlich auch nuetzliche Seiten bzw. eine Daseinsberechtigung: ueber den Prozessnamen/titel teilen manche Daemons wie z. B. OpenSSHd, varnish oder frueher auch hal mit, wozu dieser und jener Kindprozess gut ist, bzw. womit er sich gerade beschaeftigt.
ich bin auf diesen Thread gestoszen, weil von hier auf mein Blog verlinkt wurde. Eines wollte ich zum Diskurs beitragen: nur weil `ps` und andere Programme die Informationen aus procfs lesen einem weismachen wollen, der Pfad zu der Executable eines Prozesses laege in /usr/sbin/ oder sonst einem "heiklen" Directory, hat das lange nicht zu bedeuten, dass das wirklich der Fall ist, und dass die entsprechende ausfuehrbare Datei, aus der der Prozess entsprungen ist, jemals dort residiert hat. Linux kennt zwar kein setproctitle(3), man kann dies aber sehr wohl (und auch noch ziemlich einfach) nachbauen, und dann beliebige Strings so in procfs und argv[0] schreiben, dass man davon leicht in die Irre gefuehrt werden kann.
Das ganze hat natuerlich auch nuetzliche Seiten bzw. eine Daseinsberechtigung: ueber den Prozessnamen/titel teilen manche Daemons wie z. B. OpenSSHd, varnish oder frueher auch hal mit, wozu dieser und jener Kindprozess gut ist, bzw. womit er sich gerade beschaeftigt.
Jedoch gehe ich aufgrund des Threadverlaufes davon aus das dort ein Zugriff stattgefunden hat. Denn der TE hat ja nicht verneint das die vom Hoster genannte Datei an der Stelle /usr/sbin gar nicht zu finden war. Es ist dem Threadverlauf leider auch nicht zu entnehmen ob der TE dort jemals nachgeschaut hat oder in Panikattackenmanier erstmal reinstalliert hat.
Danke auf jeden Fall für deine Hinweise.
Gruß Sven