Threaded Mode | Linear Mode

Lumio · 03-14-2011 12:20 AM

Hi,

ich weiss nicht, ob das von meiner Seite aus passiert ist, oder nicht. Jedenfalls bräuchte ich grad Hilfe bzw. Informationen, was ich jetzt am besten machen sollte.

Also es war folgendes: ich habe eine neue IP Adresse bekommen und lasse darauf eine weitere Seite laufen. Nachdem alles geklappt hat, bekam ich plötzlich bei allen Seiten auf der Haupt-IP einen 500 Fehler, also mal nachguggen, stand da php premature end: exit iwas. Gut, hab ich also den anderen vHost auf der anderen IP gestoppt. Nichts passierte. Dachte mir: naja reboot. Alles klar, alles läuft wieder.

Alledings kommt mir gleich mal die Frage: Hacker? Könnte ja sein Wink

Welche möglichkeit gibt es, da was nachzulesen?
Die rootkit.log hat nur folgende Einträge, die vlt interessant sein könnten:

Code:

Checking `bindshell'... INFECTED (PORTS: 465)

Checking `lkm'... You have 1 process hidden for readdir command

You have 2 process hidden for ps command

chkproc: Warning: Possible LKM Trojan installed

Des weiteren habe ich ja Maia drauf und wollte fragen, ob es absicht ist, dass spamassassin nicht läuft? Bin mir da grad nicht so ganz sicher Smile

Liebe Grüsse

**mr.x** · 03-14-2011 06:48 AM

Hi,

(03-14-2011 12:20 AM)Lumio Wrote: Hi,

ich weiss nicht, ob das von meiner Seite aus passiert ist, oder nicht. Jedenfalls bräuchte ich grad Hilfe bzw. Informationen, was ich jetzt am besten machen sollte.

Also es war folgendes: ich habe eine neue IP Adresse bekommen und lasse darauf eine weitere Seite laufen. Nachdem alles geklappt hat, bekam ich plötzlich bei allen Seiten auf der Haupt-IP einen 500 Fehler, also mal nachguggen, stand da php premature end: exit iwas. Gut, hab ich also den anderen vHost auf der anderen IP gestoppt. Nichts passierte. Dachte mir: naja reboot. Alles klar, alles läuft wieder.

Alledings kommt mir gleich mal die Frage: Hacker? Könnte ja sein Welche möglichkeit gibt es, da was nachzulesen?
Die rootkit.log hat nur folgende Einträge, die vlt interessant sein könnten:

Code:

Checking `bindshell'... INFECTED (PORTS: 465) Checking `lkm'... You have 1 process hidden for readdir command You have 2 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed

Des weiteren habe ich ja Maia drauf und wollte fragen, ob es absicht ist, dass spamassassin nicht läuft? Bin mir da grad nicht so ganz sicher

Liebe Grüsse

Wegen dem Port 465 brauchst du dir keinen Kopf machen bei einer Standardinstallation. Auf diesem Port läuft Postfix mit SSL normalerweise. Sollte dir ein netstat anzeigen.
Zu den 500er schau mal im Apachelog nach.

VG
Mr.X

Lumio · 03-17-2011 04:07 AM

Ja, es war irgend ein Feher mit suexec. Aber ich hab echt keine Ahnung was genau war. Stand auch nicht viel mehr. Naja ein reboot hat wahre Wunder gewirkt Smile

**mr.x** · 03-17-2011 04:31 PM

(03-17-2011 04:07 AM)Lumio Wrote: Ja, es war irgend ein Feher mit suexec. Aber ich hab echt keine Ahnung was genau war. Stand auch nicht viel mehr. Naja ein reboot hat wahre Wunder gewirkt

Hast du Windoof im Einsatz .-)

**ZooL** · 03-18-2011 09:03 PM

ROFL ich schliesse thema ist ja damit erledigt....

Threaded Mode \| Linear Mode [ERLEDIGT]Ungewöhnliches Verhalten... next steps
Author	Message