> Jeg har en debian stable server hvor der pludselig begyndte at vælte > trafik > igennem (størrelseordenen 200 GB om måneden). Problemet lader til at > være at > serveren bruges som proxy ved at udnytte en sårbarhed der muliggør > smugling > af andre urler via min servers url. > > Sårbarheden skyldes debian stable rewrite/proxy moduler idet debian > stable > kører med apache 2.0.54-5sarge1 mens først 2.0.55 er fixet: > > http://secunia.com/advisories/14530/ > > Jeg har disablet cgi osv. Alligevel kommer der en rasende trafik så snart > jeg > starter serveren. Jeg har prøvet at installere apache2 testing, men den > dør > på afhængigheder. > > Hvad gør man? > > Flemming >
Jeg fandt i maj måned en trojan på min server, en IP adresse fra Kina der konstant havde kontakt med min server. Det var specielt vha lsof kommandoen at jeg kunne se den, kamufleret som et cron job der ved reboot lavede en såkaldt IRC server ting i /tmp. Fandt senere ud af via apache logs jeg havde for det sidste års tid, at den var kommet ind via et PHP hul, og havde ligget på serveren 1/2 års tid. Jeg fik fjernet sagen og brugte en del tid på at forbedre sikkerheden på min server. Læs den fulde historie og hvad jeg har gjort efterfølgende på http://swampthing.dk/attack1/ Prøv med lsof og se om der er noget usædvanligt kørende på din maskine. Mvh Torben -- Torben Schou Jensen Swamp Thing Homepage: http://swampthing.dk/~tsj/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
