Hallo zusammen,
mein Apache hatte sich gestern 'selbstständig' verabschiedet. Restart hat normal funktioniert, allerdings hat es wohl eine Attacke gegeben:
Im error.log finde ich folgende Zeilen:
Code
--02:12:52-- http://193.224.55.170/font-nix
=> `font-nix'
--02:12:52-- http://193.224.55.170/font-nix
=> `font-nix'
Connecting to 193.224.55.170:80... Connecting to 193.224.55.170:80... --02:12:52-- http://193.224.55.170/font-nix
=> `font-nix'
Connecting to 193.224.55.170:80... --02:12:52-- http://193.224.55.170/font-nix
=> `font-nix'
Connecting to 193.224.55.170:80... --02:12:52-- http://193.224.55.170/font-nix
=> `font-nix'
Connecting to 193.224.55.170:80... connected.
connected.
HTTP request sent, awaiting response... HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... --02:12:52-- http://193.224.55.170/font-nix
=> `font-nix'
Connecting to 193.224.55.170:80... 200 OK
Length: 29,638 (29K) [text/plain]
0K .200 OK
Length: 29,638 (29K) [text/plain]
font-nix has sprung into existence.
Retrying.
200 OK
Length: 29,638 (29K) [text/plain]
font-nix has sprung into existence.
Retrying.
200 OK
Length: 29,638 (29K) [text/plain]
font-nix has sprung into existence.
Retrying.
200 OK
Length: 29,638 (29K) [text/plain]
font-nix has sprung into existence.
Retrying.
connected.
HTTP request sent, awaiting response... ......... ....200 OK
Length: 29,638 (29K) [text/plain]
font-nix has sprung into existence.
Retrying.
Alles anzeigen
Es werden dann noch ein paar weitere font-nix(.1,.2,.3,.4,.5) angelegt.
Das log endet mit:
Code
[Sun Aug 02 06:26:51 2009] [notice] caught SIGTERM, shutting down
--19:58:03-- http://83.172.145.208/dc.txt
=> `dc.txt'
Connecting to 83.172.145.208:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 712 [text/plain]
0K 100% 3.01 MB/s
19:58:03 (3.01 MB/s) - `dc.txt' saved [712/712]
Alles anzeigen
Das schaut alles andere als gut aus. Vor allem wenn man sich die Dateien anschaut, die abgelegt wurden. Irgendwelche spanischsprechenden Hacker oder so.
Was ist denn jetzt die richtige Vorgehensweise um aufzuräumen und die Schwachstelle zu finden?
Danke & Gruß,
Firefly