Re: Apache2 er gået amok
> Jeg har en debian stable server hvor der pludselig begyndte at vælte
> trafik
> igennem (størrelseordenen 200 GB om måneden). Problemet lader til at
> være at
> serveren bruges som proxy ved at udnytte en sårbarhed der muliggør
> smugling
> af andre urler via min servers url.
>
> SÃ¥rbarheden skyldes debian stable rewrite/proxy moduler idet debian
> stable
> kører med apache 2.0.54-5sarge1 mens først 2.0.55 er fixet:
>
> http://secunia.com/advisories/14530/
>
> Jeg har disablet cgi osv. Alligevel kommer der en rasende trafik så snart
> jeg
> starter serveren. Jeg har prøvet at installere apache2 testing, men den
> dør
> på afhængigheder.
>
> Hvad gør man?
>
> Flemming
>
Jeg fandt i maj måned en trojan på min server, en IP adresse fra Kina der
konstant havde kontakt med min server.
Det var specielt vha lsof kommandoen at jeg kunne se den, kamufleret som
et cron job der ved reboot lavede en såkaldt IRC server ting i /tmp.
Fandt senere ud af via apache logs jeg havde for det sidste års tid, at
den var kommet ind via et PHP hul, og havde ligget på serveren 1/2 års
tid.
Jeg fik fjernet sagen og brugte en del tid på at forbedre sikkerheden på
min server.
Læs den fulde historie og hvad jeg har gjort efterfølgende på
http://swampthing.dk/attack1/
Prøv med lsof og se om der er noget usædvanligt kørende på din maskine.
Mvh
Torben
--
Torben Schou Jensen
Swamp Thing
Homepage: http://swampthing.dk/~tsj/
Reply to: