Seltsamer Prozess auf Linux vServer mit fast 100% CPU

E

efanucar

New Member
Hallo zusammen,

habe gerade unseren Server gecheckt und einen Prozess gefunden, der seit einigen Stunden läuft und nahezu 100% CPU schluckt.
Hier die Ausgabe von "ps aux"

Code: 
root      1100 99.6  0.0   1648   480 ?        R    11:32   5:12 ./s 61.19.218.55 53

Ich finde ein Skript mit dem Namen "s", im Ordner /var/books/.kde

Code: 
find / -name "s"
/srv/www/vhosts/chroot/usr/share/terminfo/s
/var/books/.kde/s
/usr/share/terminfo/s

Code: 
-rwxr-xr-x 1 psaftp psaftp   15078 Feb 20  2005 s

Über die IP gibt es auch nichts aussagekräftiges bei RIPE oder Google.
Habt Ihr sowas schon mal gehabt? Scheint irgendetwas mit Plesk zu tun zu haben?
Es handelt sich um einen vServer bei 1blu auf openSUSE 11.0 64 bit Basis.

Wäre für ein paar Hinweise dankbar!

Vielen Dank und Grüße!
 
Oha, das sieht nicht gut aus:

Code: 
/var/books/.kde # ./s

mihai@fucked.gov:

Vine noaptea ;)

Usage: Distroy <Criminalu> <Port>
 
Das Script läuft mit Root-Rechten.

* Image machen
* Einbruch analysieren
* Server neu aufsetzen
* Lücke fixen
 
Image vom kompletten Filesystem?

Wo fange ich an um den Einbruch zu analysieren?

Den letzten Teil kann ich mir zum Glück sparen, da der Server in paar Tagen sowieso geschlossen wird.
 
DNS Attacke? Jedenfalls scheints was mit Port 53 zu tun haben. Würde das Binary mal mit strings bzw strace untersuchen ;) Kannst du indem du htop öffnest, auf den Prozess gehst und "s" drückst.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top