Current time: 11-23-2024, 09:11 AM Hello There, Guest! (LoginRegister)


Thread Closed 
[ERLEDIGT]Ungewöhnliches Verhalten... next steps
Author Message
Lumio Offline
Junior Member
*

Posts: 90
Joined: Aug 2009
Reputation: 0
Post: #1
[ERLEDIGT]Ungewöhnliches Verhalten... next steps
Hi,

ich weiss nicht, ob das von meiner Seite aus passiert ist, oder nicht. Jedenfalls bräuchte ich grad Hilfe bzw. Informationen, was ich jetzt am besten machen sollte.

Also es war folgendes: ich habe eine neue IP Adresse bekommen und lasse darauf eine weitere Seite laufen. Nachdem alles geklappt hat, bekam ich plötzlich bei allen Seiten auf der Haupt-IP einen 500 Fehler, also mal nachguggen, stand da php premature end: exit iwas. Gut, hab ich also den anderen vHost auf der anderen IP gestoppt. Nichts passierte. Dachte mir: naja reboot. Alles klar, alles läuft wieder.

Alledings kommt mir gleich mal die Frage: Hacker? Könnte ja sein Wink Welche möglichkeit gibt es, da was nachzulesen?
Die rootkit.log hat nur folgende Einträge, die vlt interessant sein könnten:
Code:
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Des weiteren habe ich ja Maia drauf und wollte fragen, ob es absicht ist, dass spamassassin nicht läuft? Bin mir da grad nicht so ganz sicher Smile

Liebe Grüsse
(This post was last modified: 03-18-2011 09:04 PM by ZooL.)
03-14-2011 12:20 AM
Find all posts by this user
mr.x Offline
Development Team
*****
Dev Team

Posts: 232
Joined: Nov 2006
Reputation: 3
Post: #2
RE: Ungewöhnliches Verhalten... next steps
Hi,

(03-14-2011 12:20 AM)Lumio Wrote:  Hi,

ich weiss nicht, ob das von meiner Seite aus passiert ist, oder nicht. Jedenfalls bräuchte ich grad Hilfe bzw. Informationen, was ich jetzt am besten machen sollte.

Also es war folgendes: ich habe eine neue IP Adresse bekommen und lasse darauf eine weitere Seite laufen. Nachdem alles geklappt hat, bekam ich plötzlich bei allen Seiten auf der Haupt-IP einen 500 Fehler, also mal nachguggen, stand da php premature end: exit iwas. Gut, hab ich also den anderen vHost auf der anderen IP gestoppt. Nichts passierte. Dachte mir: naja reboot. Alles klar, alles läuft wieder.

Alledings kommt mir gleich mal die Frage: Hacker? Könnte ja sein Wink Welche möglichkeit gibt es, da was nachzulesen?
Die rootkit.log hat nur folgende Einträge, die vlt interessant sein könnten:
Code:
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Des weiteren habe ich ja Maia drauf und wollte fragen, ob es absicht ist, dass spamassassin nicht läuft? Bin mir da grad nicht so ganz sicher Smile

Liebe Grüsse

Wegen dem Port 465 brauchst du dir keinen Kopf machen bei einer Standardinstallation. Auf diesem Port läuft Postfix mit SSL normalerweise. Sollte dir ein netstat anzeigen.
Zu den 500er schau mal im Apachelog nach.

VG
Mr.X
03-14-2011 06:48 AM
Find all posts by this user
Lumio Offline
Junior Member
*

Posts: 90
Joined: Aug 2009
Reputation: 0
Post: #3
RE: Ungewöhnliches Verhalten... next steps
Ja, es war irgend ein Feher mit suexec. Aber ich hab echt keine Ahnung was genau war. Stand auch nicht viel mehr. Naja ein reboot hat wahre Wunder gewirkt Smile
03-17-2011 04:07 AM
Find all posts by this user
mr.x Offline
Development Team
*****
Dev Team

Posts: 232
Joined: Nov 2006
Reputation: 3
Post: #4
RE: Ungewöhnliches Verhalten... next steps
(03-17-2011 04:07 AM)Lumio Wrote:  Ja, es war irgend ein Feher mit suexec. Aber ich hab echt keine Ahnung was genau war. Stand auch nicht viel mehr. Naja ein reboot hat wahre Wunder gewirkt Smile

Hast du Windoof im Einsatz .-)
03-17-2011 04:31 PM
Find all posts by this user
ZooL Offline
Moderator
*****
Moderators

Posts: 3,429
Joined: Jan 2007
Reputation: 79
Post: #5
RE: Ungewöhnliches Verhalten... next steps
ROFL ich schliesse thema ist ja damit erledigt....
03-18-2011 09:03 PM
Visit this user's website Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: