Hallo,
nachdem ich fast drei Wochen geschwitzt habe, wollte ich nur Folgendes loswerden:
Seit 12. April hat meine Kostenübersicht im 1&1 Control Center einen täglichen Traffic von zuerst 6 GB, dann teilweis bis zu 40 GB angezeigt. Klarer Fall von Rootkit, würde ich sagen.
Habe als erstmal mit externer Firewall fast alle Ports dichtgemacht, meine PHP-Anwendungen überprüft, QMAIL weiter abgesichert, LOG-Files durchgelesen und VNSTAT installiert und ein aktuelles CHKROOTKIT drüberrennen lassen. Ergebnis: NIX! Eigene Trafficmessung: ca. 400 bis 500 MB am Tag.
Auf wiederholte telefonische Nachfrage bei 1&1 habe ich heute folgende Information erhalten: "Wie hatten in einem Segment seit dem 12.4. eine Trafficstörung, so dass zu viel Traffic gemessen wurde. Die Störung wurde gestern behoben." Es seien Meldungen einiger Nutzer eingegangen, die genau in diesem einen Segment hängen - daraufhin hätten sie dann mal gesucht.
Also, mir ging zeitweise der Arsch echt auf Grundeis - zum einen, weil wichtige Anwendungen auf dem Server liefen, die ich nicht so einfach runternehmen konnte, zum anderen, weil einfach gar nichts zu finden war. Umso besser, dass sich die Sache jetzt so geklärt hat...
Gruß,
Jochen
nachdem ich fast drei Wochen geschwitzt habe, wollte ich nur Folgendes loswerden:
Seit 12. April hat meine Kostenübersicht im 1&1 Control Center einen täglichen Traffic von zuerst 6 GB, dann teilweis bis zu 40 GB angezeigt. Klarer Fall von Rootkit, würde ich sagen.
Habe als erstmal mit externer Firewall fast alle Ports dichtgemacht, meine PHP-Anwendungen überprüft, QMAIL weiter abgesichert, LOG-Files durchgelesen und VNSTAT installiert und ein aktuelles CHKROOTKIT drüberrennen lassen. Ergebnis: NIX! Eigene Trafficmessung: ca. 400 bis 500 MB am Tag.
Auf wiederholte telefonische Nachfrage bei 1&1 habe ich heute folgende Information erhalten: "Wie hatten in einem Segment seit dem 12.4. eine Trafficstörung, so dass zu viel Traffic gemessen wurde. Die Störung wurde gestern behoben." Es seien Meldungen einiger Nutzer eingegangen, die genau in diesem einen Segment hängen - daraufhin hätten sie dann mal gesucht.
Also, mir ging zeitweise der Arsch echt auf Grundeis - zum einen, weil wichtige Anwendungen auf dem Server liefen, die ich nicht so einfach runternehmen konnte, zum anderen, weil einfach gar nichts zu finden war. Umso besser, dass sich die Sache jetzt so geklärt hat...
Gruß,
Jochen
