danton
Debian User
In den technischen News steht folgendes (ich zitier hier mal nur die relevante PAssage):
Und da steht ganz klar: Bei vielen Systemen (nicht allen)
Das bedeutet natürlich, daß auch andere Rootkits eingeschleust worden sein, können, die chkrootkit oder rkhunter nicht finden und die eben nicht oben genanntem Schema entsprechen.
Oder anders ausgedrückt: Trotz leerem cgi-bin Verzeichnis kann der Server kompromitiert sein!!!
strato said:Wir haben diverse gesperrte Systeme analysiert, um Ihnen Hinweise für Gegenmaßnahmen geben zu können.
Bei vielen Systemen (nicht allen) ist die Situation wie folgt:
Der Angreifer hat eine Backdoor installiert, um andere Server anzugreifen.
Die durch die Backdoor installieren Skripte liegen in den cgi-bin-Verzeichnissen der Plesk-Webverzeichnisse.
Beispiel: /srv/www/vhosts/domainname.de/cgi-bin
- Die Namen der Perl-Skripte sind beliebig, enden aber immer auf .pl
- In 95% aller Skripte ist das Schlüsselwort "Gootkit" zu finden.
- Sie haben immer die Dateirechte "-rwxr-xr-x"
- Angelegt / geändert wurden die Dateien Ende Februar / Anfang März.
Und da steht ganz klar: Bei vielen Systemen (nicht allen)
Das bedeutet natürlich, daß auch andere Rootkits eingeschleust worden sein, können, die chkrootkit oder rkhunter nicht finden und die eben nicht oben genanntem Schema entsprechen.
Oder anders ausgedrückt: Trotz leerem cgi-bin Verzeichnis kann der Server kompromitiert sein!!!