Hej, Tak fordi du gentager `lsof`koomado i denne tråde, som jeg har også nævnt tidligere... Ellers jeg vil nok foreslå til Flemming at bygge denne proxy server i "chroot httpd service" - der findes en skript/pakke som generar sådan miljø, men dog glemt dens navn. Ellers link du har forslået her introducerer til meget intressent "Rootkit Hunter" som jeg vil deffinitivt ser nærmere på, tak for det....
MVH /Admir On 8/26/06, Torben Schou Jensen <[EMAIL PROTECTED]> wrote:
> Jeg har en debian stable server hvor der pludselig begyndte at vælte > trafik > igennem (størrelseordenen 200 GB om mÃ¥neden). Problemet lader til at > være at > serveren bruges som proxy ved at udnytte en sÃ¥rbarhed der muliggør > smugling > af andre urler via min servers url. > > SÃ¥rbarheden skyldes debian stable rewrite/proxy moduler idet debian > stable > kører med apache 2.0.54-5sarge1 mens først 2.0.55 er fixet: > > http://secunia.com/advisories/14530/ > > Jeg har disablet cgi osv. Alligevel kommer der en rasende trafik sÃ¥ snart > jeg > starter serveren. Jeg har prøvet at installere apache2 testing, men den > dør > pÃ¥ afhængigheder. > > Hvad gør man? > > Flemming > Jeg fandt i maj måned en trojan på min server, en IP adresse fra Kina der konstant havde kontakt med min server. Det var specielt vha lsof kommandoen at jeg kunne se den, kamufleret som et cron job der ved reboot lavede en såkaldt IRC server ting i /tmp. Fandt senere ud af via apache logs jeg havde for det sidste års tid, at den var kommet ind via et PHP hul, og havde ligget på serveren 1/2 års tid. Jeg fik fjernet sagen og brugte en del tid på at forbedre sikkerheden på min server. Læs den fulde historie og hvad jeg har gjort efterfølgende på http://swampthing.dk/attack1/ Prøv med lsof og se om der er noget usædvanligt kørende på din maskine. Mvh Torben -- Torben Schou Jensen Swamp Thing Homepage: http://swampthing.dk/~tsj/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
-- Admir Trakic Debian Gnu/Linux user #99405 http://www.trakic.com/
