Re: Har min Debian-server hackats?
Den 9 juni 2010 15.27 skrev Pelle Nilsson <pellenilsson@fastmail.fm>:
>
> Hej!
>
> Jag har en liten server-dator hemma i garderoben som kör Debian etch.
> Sedan en vecka tillbaka får jag ett mail från den varje dag med
> felmeddelanden från ett cron-jobb. Meddelandena är lite olika från gång
> till gång, men det senaste såg ut så här:
>
> /etc/cron.daily/dnsquery:
> ./popauth: error while loading shared libraries: libdb.so.3: cannot open
> [...]
Du har uppenbarligen blivit hackad. Dock ser det ut som om klarat dig
från det värsta eftersom självaste binären som installerats är
dynamisk länkad mot libbar du inte har installerade. Hursom finns det
bara en sak du kan och ska göra i ett sådant här läge: ta servern
offline tills dess att du ominstallerat den. Ge dig inte på någon
uppgradering. Självklar är det bra att scanna med rkhunter och
liknande för att om möjligt räkna ut hur hacket gick till.
Installera uppdaterade versioner av alla demoner och webappar du
använt innan, kopiera inte bara över exempelvis php-filer (såsom
phpmyadmin eller wordpress).
Nu kan jag låta väl paranoid, men en komplett ominstallation är det
enda som kan garantera att inte någon väg in finns kvar. Jag har själv
bitit i detta sura äpple, jag vet hur det smärtar men samtidigt brukar
det bidra till en välbehövlig städning.
mvh
Johan Björklund
Reply to: