Re: Apache2 er gÃ¥et amok

To: debian-user-danish@lists.debian.org
Subject: Re: Apache2 er gÃ¥et amok
From: "Admir Trakic" <admir@trakic.com>
Date: Sat, 26 Aug 2006 17:19:28 +0200
Message-id: <[🔎] 928686150608260819m1d4dc0cfh2b76a6b4dc1b6400@mail.gmail.com>
In-reply-to: <[🔎] 1172.192.168.1.9.1156594770.squirrel@swampthing.dk>
References: <[🔎] 200608250017.03350.flem@bjerke.dk> <[🔎] 1172.192.168.1.9.1156594770.squirrel@swampthing.dk>

Hej,

Tak fordi du gentager `lsof`koomado i denne tråde, som jeg har også
nævnt  tidligere... Ellers jeg vil nok foreslå til Flemming at bygge
denne proxy server i "chroot httpd service" -  der findes en
skript/pakke som generar sådan miljø, men dog glemt dens navn.
Ellers link du har forslået her introducerer til meget intressent
"Rootkit Hunter" som jeg vil deffinitivt ser nærmere på, tak for
det....

MVH

/Admir



On 8/26/06, Torben Schou Jensen <tsj@swampthing.dk> wrote:

> Jeg har en debian stable server hvor der pludselig begyndte at vÃ¦lte
> trafik
> igennem (stÃ¸rrelseordenen 200 GB om mÃ¥neden). Problemet lader til at
> vÃ¦re at
> serveren bruges som proxy ved at udnytte en sÃ¥rbarhed der muliggÃ¸r
> smugling
> af andre urler via min servers url.
>
> SÃ¥rbarheden skyldes debian stable rewrite/proxy moduler idet debian
> stable
> kÃ¸rer med apache 2.0.54-5sarge1 mens fÃ¸rst 2.0.55 er fixet:
>
> http://secunia.com/advisories/14530/
>
> Jeg har disablet cgi osv. Alligevel kommer der en rasende trafik sÃ¥ snart
> jeg
> starter serveren. Jeg har prÃ¸vet at installere apache2 testing, men den
> dÃ¸r
> pÃ¥ afhÃ¦ngigheder.
>
> Hvad gÃ¸r man?
>
> Flemming
>

Jeg fandt i maj måned en trojan på min server, en IP adresse fra Kina der
konstant havde kontakt med min server.

Det var specielt vha lsof kommandoen at jeg kunne se den, kamufleret som
et cron job der ved reboot lavede en såkaldt IRC server ting i /tmp.

Fandt senere ud af via apache logs jeg havde for det sidste års tid, at
den var kommet ind via et PHP hul, og havde ligget på serveren 1/2 års
tid.

Jeg fik fjernet sagen og brugte en del tid på at forbedre sikkerheden på
min server.

Læs den fulde historie og hvad jeg har gjort efterfølgende på
http://swampthing.dk/attack1/

Prøv med lsof og se om der er noget usædvanligt kørende på din maskine.

Mvh
Torben

--
Torben Schou Jensen
Swamp Thing
Homepage: http://swampthing.dk/~tsj/



--
To UNSUBSCRIBE, email to debian-user-danish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org



--
Admir Trakic
Debian Gnu/Linux user #99405
http://www.trakic.com/

Reply to:

References:
- Apache2 er gået amok
  - From: Flemming Bjerke <flem@bjerke.dk>
- Re: Apache2 er gÃ¥et amok
  - From: "Torben Schou Jensen" <tsj@swampthing.dk>

Prev by Date: Re: Apache2 er gÃ¥et amok
Next by Date: dinosaur
Previous by thread: Re: Apache2 er gÃ¥et amok
Next by thread: dinosaur
Index(es):
- Date
- Thread