Virus? Seit gestern Files like qvoxccpcow - Debian 9

#1
Hallo,

ich habe ein Problem auf meinem Server.
Seit gestern sehe ich unter htop kryptische filenames wie

qvoxccpcow

Die File befinden sich unter /usr/bin/
Lösche ich diese, kommt eine neue Datei mit ähnlichen Namen.

Ich habe ClamAV und chrootkit drüberlaufen lassen, ClamAV hat diese Dateien gefunden und erfolgreich in die Quarantäne verschoben. Problem nur, es kommen immer wieder neue. Wie Hydra :(

MLD findet nichts

Wer kann mir helfen? Was ist da los?

Noch was... Ich verbinde mich per macOS Terminal, nach kurzer Zeit habe ich keinen Zugriff mehr auf den Server und allen Websites. Nehme ich eine andere IP per VPN bzw. LTE, komme ich ohne Probleme auf den Server bzw. dessen Websites. Ich wechsle also die IP, voller Zugriff, nach kurzer Zeit gleiches Spiel wieder. Habe ich zusätzlich noch einen Virus auf meinem MAC? Es passiert nur im Zusammenhang mit Zugriff auf den Server sonst nicht.

Ich nutze

Debian Stretch 9.6 als System mit VestaCP

Danke

URBANsUNITED
 
Last edited by a moderator:

d3p

Blog Benutzer
#5
Mittels dieser Anleitung konnte ich das System wieder säubern.
Das System ist nicht mehr vertrauenswürdig.
Du solltest:
  1. einen Dump via dd o.ä. für die spätere Analyse anfertigen
  2. wichtige Daten sichern
  3. den Server neuinstallieren
  4. VOR Inbetriebnhame der Dienste/Einspielung alter Daten prüfen, wie der Virus/Trojaner/Schädling den Weg ins System gefunden hat und sicherstellen, dass keine deiner Dateien dafür verantwortlich ist
  5. etc.
 
#6
Mmmmmhhh klingt schon fast danach. Obwohl ich das System immer auf Update halte. Neueste Version ist drauf.
Wenn VestaCP die Lücken aufreisst, dann dürfte das Updaten ja auch nichts bringen.
Laut Artikel hier wurden ja alle AdminPasswörter bei Installation an den Server von VestaCP übermittelt.
https://www.welivesecurity.com/2018...alware-distributed-servers-vestacp-installed/
Da bedarf es ja keines speziellen Angriffsvectors, wenn die Zugangsdaten den Hackern vorliegen.
 
Top