Merkwürdiges Verzeichnis /clean

hahni

Active Member
#1
Hallo zusammen,

seit einiger Zeit habe ich ein für mich nicht zuordenbares Verzeichnis "/clean" auf einem Webserver mit folgendem Inhalt:

--
root@server:/# vdir clean
insgesamt 20
-rwxr-xr-x 1 root root 267 Feb 20 2017 base64.inject.unclassed
-rwxr-xr-x 1 root root 295 Feb 20 2017 gzbase64.inject.unclassed
-rwxr-xr-x 1 root root 303 Feb 20 2017 js.inject.fakejquery02
-rwxr-xr-x 1 root root 267 Feb 20 2017 js.inject.VisitorTracker
-rwxr-xr-x 1 root root 203 Feb 20 2017 php.brute.bf1lic
--

chkrootkit sagt nichts, rkhunter auch nicht. Was hat es denn damit auf sich?

Viele Grüße

Hahni
 

hahni

Active Member
#3
Wenn ich danach google, dann scheint es ein Verzeichnis von maldet zu sein. Aber früher - und ich habe neben ISPProtect auch maldet laufen, waren die Daten und Verzeichnisse nicht im Root abgelegt. Auch habe ich maldet nicht aktualisiert. Daher wundert mich das schon ein bisschen.
 

hahni

Active Member
#4
Habe gerade gesehen, dass bei maldet wohl mal ein Bug war und dann die Signaturverzeichnisse im / abgelegt wurden. Also das jedenfalls deutet nicht auf ein Rootkit hin. rkhunter läuft sauber ohne Beanstandungen durch. chrootkit aber nicht:

--
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Checking `bindshell'... INFECTED (PORTS: 465)
--

False positives oder gehackt?
 

Werbung

Top