[ERLEDIGT]Ungewöhnliches Verhalten... next steps

[mr.x]

Hi,

(03-14-2011 12:20 AM)Lumio Wrote:  Hi,

ich weiss nicht, ob das von meiner Seite aus passiert ist, oder nicht. Jedenfalls bräuchte ich grad Hilfe bzw. Informationen, was ich jetzt am besten machen sollte.

Also es war folgendes: ich habe eine neue IP Adresse bekommen und lasse darauf eine weitere Seite laufen. Nachdem alles geklappt hat, bekam ich plötzlich bei allen Seiten auf der Haupt-IP einen 500 Fehler, also mal nachguggen, stand da php premature end: exit iwas. Gut, hab ich also den anderen vHost auf der anderen IP gestoppt. Nichts passierte. Dachte mir: naja reboot. Alles klar, alles läuft wieder.

Alledings kommt mir gleich mal die Frage: Hacker? Könnte ja sein Welche möglichkeit gibt es, da was nachzulesen?
Die rootkit.log hat nur folgende Einträge, die vlt interessant sein könnten:

Code:

Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Des weiteren habe ich ja Maia drauf und wollte fragen, ob es absicht ist, dass spamassassin nicht läuft? Bin mir da grad nicht so ganz sicher

Liebe Grüsse

Wegen dem Port 465 brauchst du dir keinen Kopf machen bei einer Standardinstallation. Auf diesem Port läuft Postfix mit SSL normalerweise. Sollte dir ein netstat anzeigen.
Zu den 500er schau mal im Apachelog nach.

VG
Mr.X