Hallo,
mein VServer wurde wohl gehackt - und das obwohl aktuelle Updates drauf waren. Betriebssystem ist/war Suse 9
Mich würde interessieren was da los war. Wer kann mir weiterhelfen.
Hier die nötigen Infos:
chkrootkit lieferte das hier zurück:
Checking `bindshell'... INFECTED (PORTS: 31337)
unter /var/tmp gab es folgende Verzeichnisse / Dateien die nicht von mir stammten:
.hu (Dir)
.tmp (Dir)
sendcoante (Dir)
sendcoante.zip
kmod
In den Verzeichnissen sind zahlreiche Pearl-Scripte, die nichts anderes tun als massig Mails zu verschicken und einen Art Server-Task bilden. Ich habe die Dateien mal gesichert.
Verschickt wurden Mails die eine Anmeldung als EBay-Powerseller angaben und auf eine gefälschte EBay-Seite verwiesen.
Aktuell habe ich meinen VServer wieder so weit das er keinen Spam mehr verschickt.
Von Intergenia habe ich eine Mail bekommen das die Nutzung gegen die AGBs verstößt (ist ja logisch). Mein Transfervolumen in den letzten 2 Tagen lag gut 2 GB über normal.
Wie wäre jetzt ein sinnvolles Vorgehen?
Gruß
Thomas
mein VServer wurde wohl gehackt - und das obwohl aktuelle Updates drauf waren. Betriebssystem ist/war Suse 9
Mich würde interessieren was da los war. Wer kann mir weiterhelfen.
Hier die nötigen Infos:
chkrootkit lieferte das hier zurück:
Checking `bindshell'... INFECTED (PORTS: 31337)
unter /var/tmp gab es folgende Verzeichnisse / Dateien die nicht von mir stammten:
.hu (Dir)
.tmp (Dir)
sendcoante (Dir)
sendcoante.zip
kmod
In den Verzeichnissen sind zahlreiche Pearl-Scripte, die nichts anderes tun als massig Mails zu verschicken und einen Art Server-Task bilden. Ich habe die Dateien mal gesichert.
Verschickt wurden Mails die eine Anmeldung als EBay-Powerseller angaben und auf eine gefälschte EBay-Seite verwiesen.
Aktuell habe ich meinen VServer wieder so weit das er keinen Spam mehr verschickt.
Von Intergenia habe ich eine Mail bekommen das die Nutzung gegen die AGBs verstößt (ist ja logisch). Mein Transfervolumen in den letzten 2 Tagen lag gut 2 GB über normal.
Wie wäre jetzt ein sinnvolles Vorgehen?
Gruß
Thomas