ispCP - Board - Support
[ERLEDIGT]Ungewöhnliches Verhalten... next steps - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: [ERLEDIGT]Ungewöhnliches Verhalten... next steps (/thread-13057.html)



[ERLEDIGT]Ungewöhnliches Verhalten... next steps - Lumio - 03-14-2011 12:20 AM

Hi,

ich weiss nicht, ob das von meiner Seite aus passiert ist, oder nicht. Jedenfalls bräuchte ich grad Hilfe bzw. Informationen, was ich jetzt am besten machen sollte.

Also es war folgendes: ich habe eine neue IP Adresse bekommen und lasse darauf eine weitere Seite laufen. Nachdem alles geklappt hat, bekam ich plötzlich bei allen Seiten auf der Haupt-IP einen 500 Fehler, also mal nachguggen, stand da php premature end: exit iwas. Gut, hab ich also den anderen vHost auf der anderen IP gestoppt. Nichts passierte. Dachte mir: naja reboot. Alles klar, alles läuft wieder.

Alledings kommt mir gleich mal die Frage: Hacker? Könnte ja sein Wink Welche möglichkeit gibt es, da was nachzulesen?
Die rootkit.log hat nur folgende Einträge, die vlt interessant sein könnten:
Code:
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Des weiteren habe ich ja Maia drauf und wollte fragen, ob es absicht ist, dass spamassassin nicht läuft? Bin mir da grad nicht so ganz sicher Smile

Liebe Grüsse


RE: Ungewöhnliches Verhalten... next steps - mr.x - 03-14-2011 06:48 AM

Hi,

(03-14-2011 12:20 AM)Lumio Wrote:  Hi,

ich weiss nicht, ob das von meiner Seite aus passiert ist, oder nicht. Jedenfalls bräuchte ich grad Hilfe bzw. Informationen, was ich jetzt am besten machen sollte.

Also es war folgendes: ich habe eine neue IP Adresse bekommen und lasse darauf eine weitere Seite laufen. Nachdem alles geklappt hat, bekam ich plötzlich bei allen Seiten auf der Haupt-IP einen 500 Fehler, also mal nachguggen, stand da php premature end: exit iwas. Gut, hab ich also den anderen vHost auf der anderen IP gestoppt. Nichts passierte. Dachte mir: naja reboot. Alles klar, alles läuft wieder.

Alledings kommt mir gleich mal die Frage: Hacker? Könnte ja sein Wink Welche möglichkeit gibt es, da was nachzulesen?
Die rootkit.log hat nur folgende Einträge, die vlt interessant sein könnten:
Code:
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Des weiteren habe ich ja Maia drauf und wollte fragen, ob es absicht ist, dass spamassassin nicht läuft? Bin mir da grad nicht so ganz sicher Smile

Liebe Grüsse

Wegen dem Port 465 brauchst du dir keinen Kopf machen bei einer Standardinstallation. Auf diesem Port läuft Postfix mit SSL normalerweise. Sollte dir ein netstat anzeigen.
Zu den 500er schau mal im Apachelog nach.

VG
Mr.X


RE: Ungewöhnliches Verhalten... next steps - Lumio - 03-17-2011 04:07 AM

Ja, es war irgend ein Feher mit suexec. Aber ich hab echt keine Ahnung was genau war. Stand auch nicht viel mehr. Naja ein reboot hat wahre Wunder gewirkt Smile


RE: Ungewöhnliches Verhalten... next steps - mr.x - 03-17-2011 04:31 PM

(03-17-2011 04:07 AM)Lumio Wrote:  Ja, es war irgend ein Feher mit suexec. Aber ich hab echt keine Ahnung was genau war. Stand auch nicht viel mehr. Naja ein reboot hat wahre Wunder gewirkt Smile

Hast du Windoof im Einsatz .-)


RE: Ungewöhnliches Verhalten... next steps - ZooL - 03-18-2011 09:03 PM

ROFL ich schliesse thema ist ja damit erledigt....